Trazendo a segurança moderna do transporte para o Google Cloud com o TLS 1.3

Por exemplo, a Netflix também adotou recentemente o TLS 1.3, e melhorias observadas na experiência do usuário em torno do atraso de reprodução (relacionadas à rede) e rejeitantes (geralmente relacionados à CPU).

O Google agora está sempre usando o TLS/SSL para conexões do Gmail

Ficamos satisfeitos hoje em ler que o Google agora está mudando o serviço do Gmail para sempre Use conexões criptografadas por TLS. Como eles observam em sua postagem no blog de anúncios:

A partir de hoje, o Gmail sempre usará uma conexão HTTPS criptografada quando você verificar ou enviar e -mail. O Gmail apoiou HTTPs desde o dia em que foi lançado e, em 2010, fizemos HTTPS o padrão. A mudança de hoje significa que Ninguém pode ouvir suas mensagens enquanto eles vão e voltam entre você e os servidores do Gmail—Não importa se você estiver usando wifi público ou efetuando login no seu computador, telefone ou tablet.

O ponto principal é o que eu enfatizei em negrito no texto: os atacantes não podem ouvir suas mensagens enquanto eles passam entre o seu cliente de email (que pode ser o seu navegador da web) e os servidores do Gmail. Obviamente, as mensagens ainda podem ser potencialmente vistas no seu dispositivo cliente ou nos servidores do Gmail … mas esta etapa está removendo a capacidade de as mensagens serem vistas “no fio”.

Este é um ótimo exemplo do tipo de ação que gostaríamos de ver para tornar a comunicação pela Internet mais segura- e por que lançamos nossa nova seção “TLS for Applications” deste site. Queremos incentivar mais provedores de aplicativos e desenvolvedores a fazer as etapas que o Google fez aqui.

Parabéns à equipe do Google/Gmail por dar esta etapa!

Isenção de responsabilidade: os pontos de vista expressos neste post são os do autor e podem ou não refletir posições oficiais da sociedade da Internet.

Google usa TLS

Gerente de produto, CDN

Gabriel Redner

Engenheiro de software, nuvem LB

Passamos muito tempo pensando em como melhorar os protocolos da Internet no Google – tanto para nossos clientes do Google Cloud quanto para nossas próprias propriedades. Do nosso trabalho desenvolvendo SPDY em HTTP/2 e QIC em HTTP/3, sabemos que melhorar os protocolos que usamos em toda a Internet é fundamental para melhorar a experiência do usuário.

A segurança da camada de transporte, ou TLS, é uma família de protocolos de Internet que o Google desempenhou um papel importante no desenvolvimento. Anteriormente conhecido como SSL, o TLS é o principal método de proteger as conexões da Internet entre servidores e seus clientes. Primeiro habilitamos o TLS 1.3 No Chrome, em outubro de 2018, ao mesmo tempo que Mozilla o trouxe para o Firefox. Hoje, a maioria dos clientes modernos suporta TLS 1.3, incluindo versões recentes do Android, iOS da Apple e navegador Edge da Microsoft, bem como Boringssl, OpenSSL e Libcurl. Apoio ao TLS 1.3 é amplo e traz benefícios de desempenho e segurança para grande parte da Internet.

Dado isso, recentemente lançamos o TLS 1.3 Como o padrão para todos os clientes de CDN em nuvem novos e existentes e de balanceamento de carga global. TLS 1.3 já é usado em mais da metade das conexões TLS no Google Cloud, quase no par com o Google em geral.

Para ganhar confiança de que poderíamos fazer isso com segurança e sem impactar negativamente os usuários finais, ativamos anteriormente o TLS 1.3 Em toda a pesquisa, Gmail, YouTube e vários outros serviços do Google. Também monitoramos o feedback que recebemos quando lançamos o TLS 1.3 no cromo. Esta experiência anterior mostrou que poderíamos ativar com segurança o TLS 1.3 No Google Cloud por padrão, sem exigir que os clientes atualizem suas configurações manualmente.

O que é TLS 1.3, e o que isso traz?

TLS 1.3 é a versão mais recente do protocolo TLS e traz melhorias notáveis ​​de segurança para você e seus usuários, alinhados com nosso objetivo de proteger a Internet.

  • Cifras modernas e algoritmos de troca de chaves, com sigilo para a frente como uma linha de base.
  • Remoção de cifras mais antigas e menos seguras e métodos de troca-chave, bem como uma redução geral na complexidade do protocolo.
  • Baixa latência do aperto de mão (uma viagem de ida e volta entre o cliente e o servidor) para apertos de mão completos, o que contribui diretamente para uma boa experiência do usuário final.

Essa combinação de benefícios de desempenho e segurança é particularmente notável: a percepção é frequentemente que é preciso trocar um para o outro, mas os designs modernos podem melhorar os dois. Notavelmente, tls 1.3 pode ter benefícios exagerados para os usuários em:

  • Redes congestionadas, o que é particularmente relevante durante os períodos de aumento do uso da Internet.
  • Conexões de alta latência-especialmente dispositivos celulares (móveis)-onde a redução nas viagens de ida e volta é particularmente significativa.
  • Dispositivos de baixa potência, graças à lista com curadoria de cifras.

Por exemplo, a Netflix também adotou recentemente o TLS 1.3, e melhorias observadas na experiência do usuário em torno do atraso de reprodução (relacionadas à rede) e rejeitantes (geralmente relacionados à CPU).

Como um benefício adicional, os clientes que precisam atender aos requisitos do NIST, incluindo muitos u.S. As agências governamentais e seus contratados podem começar a atender ao requisito de apoiar o TLS 1.3 à frente do prazo de 1º de janeiro do NIST de 2024.

Qual é o próximo?

TLS 1.3 rapidamente assumiu a responsabilidade por garantir grandes faixas do tráfego da Internet dos clientes do Google Cloud, e esperamos que essa proporção cresça à medida que mais clientes obtêm suporte para isso. Já estavam!) trabalhando no próximo conjunto de protocolos modernos para trazer para nossos clientes do Google Cloud – incluindo o TCP BBRV2, bem como o IETF QIC e o HTTP/3, que estão próximos de ser finalizados. Também estamos planejando apoiar o TLS 1.3 0-RTT (embora os clientes precisem


Trazendo a segurança moderna do transporte para o Google Cloud com o TLS 1.3

Por exemplo, a Netflix também adotou recentemente o TLS 1.3, e melhorias observadas na experiência do usuário em torno do atraso de reprodução (relacionadas à rede) e rejeitantes (geralmente relacionados à CPU).

O Google agora está sempre usando o TLS/SSL para conexões do Gmail

Ficamos satisfeitos hoje em ler que o Google agora está mudando o serviço do Gmail para sempre Use conexões criptografadas por TLS. Como eles observam em sua postagem no blog de anúncios:

A partir de hoje, o Gmail sempre usará uma conexão HTTPS criptografada quando você verificar ou enviar e -mail. O Gmail apoiou HTTPs desde o dia em que foi lançado e, em 2010, fizemos HTTPS o padrão. Hoje’S Mudança significa que Ninguém pode ouvir suas mensagens enquanto eles vão e voltam entre você e o Gmail’S servidores—Não importa se você’está usando wifi público ou faça login no seu computador, telefone ou tablet.

O ponto principal é o que eu enfatizei em negrito no texto: os atacantes não podem ouvir suas mensagens enquanto eles passam entre o seu cliente de email (que pode ser o seu navegador da web) e o Gmail’S servidores. Obviamente, as mensagens ainda podem ser potencialmente vistas no seu dispositivo cliente ou no Gmail’s servidores … mas esta etapa está removendo a capacidade de as mensagens serem visualizadas “sobre o fio”.

Este é um ótimo exemplo do tipo de ação que’D gostaria de ver tornar a comunicação pela Internet mais segura- e por que lançamos nosso novo “TLS para aplicações” Seção deste site. Queremos incentivar mais provedores de aplicativos e desenvolvedores a fazer as etapas que o Google fez aqui.

Parabéns à equipe do Google/Gmail por dar esta etapa!

Isenção de responsabilidade: os pontos de vista expressos neste post são os do autor e podem ou não refletir posições oficiais da sociedade da Internet.

Google usa TLS

Gerente de produto, CDN

Gabriel Redner

Engenheiro de software, nuvem LB

Passamos muito tempo pensando em como melhorar os protocolos da Internet no Google – tanto para nossos clientes do Google Cloud quanto para nossas próprias propriedades. Do nosso trabalho desenvolvendo SPDY em HTTP/2 e QIC em HTTP/3, sabemos que melhorar os protocolos que usamos em toda a Internet é fundamental para melhorar a experiência do usuário.

A segurança da camada de transporte, ou TLS, é uma família de protocolos de Internet que o Google desempenhou um papel importante no desenvolvimento. Anteriormente conhecido como SSL, o TLS é o principal método de proteger as conexões da Internet entre servidores e seus clientes. Primeiro habilitamos o TLS 1.3 No Chrome, em outubro de 2018, ao mesmo tempo que Mozilla o trouxe para o Firefox. Hoje, a maioria dos clientes modernos suporta TLS 1.3, incluindo versões recentes do Android, Apple’s iOS e Microsoft’S Borwser, bem como Boringssl, OpenSSL e Libcurl. Apoio ao TLS 1.3 é amplo e traz benefícios de desempenho e segurança para grande parte da Internet.

Dado isso, recentemente lançamos o TLS 1.3 Como o padrão para todos os clientes de CDN em nuvem novos e existentes e de balanceamento de carga global. TLS 1.3 já é usado em mais da metade das conexões TLS no Google Cloud, quase no par com o Google em geral.

Para ganhar confiança de que poderíamos fazer isso com segurança e sem impactar negativamente os usuários finais, ativamos anteriormente o TLS 1.3 Em toda a pesquisa, Gmail, YouTube e vários outros serviços do Google. Também monitoramos o feedback que recebemos quando lançamos o TLS 1.3 no cromo. Esta experiência anterior mostrou que poderíamos ativar com segurança o TLS 1.3 No Google Cloud por padrão, sem exigir que os clientes atualizem suas configurações manualmente.

O que é TLS 1.3, e o que isso traz?

TLS 1.3 é a versão mais recente do protocolo TLS e traz melhorias notáveis ​​de segurança para você e seus usuários, alinhados com nosso objetivo de proteger a Internet.

Especificamente, TLS 1.3 fornece:

  • Cifras modernas e algoritmos de troca de chaves, com sigilo para a frente como uma linha de base.
  • Remoção de cifras mais antigas e menos seguras e métodos de troca-chave, bem como uma redução geral na complexidade do protocolo.
  • Baixa latência do aperto de mão (uma viagem de ida e volta entre o cliente e o servidor) para apertos de mão completos, o que contribui diretamente para uma boa experiência do usuário final.

Essa combinação de benefícios de desempenho e segurança é particularmente notável: a percepção é frequentemente que é preciso trocar um para o outro, mas os designs modernos podem melhorar os dois. Notavelmente, tls 1.3 pode ter benefícios exagerados para os usuários em:

  • Redes congestionadas, o que é particularmente relevante durante os períodos de aumento do uso da Internet.
  • Conexões de alta latência-especialmente dispositivos celulares (móveis)-onde a redução nas viagens de ida e volta é particularmente significativa.
  • Dispositivos de baixa potência, graças à lista com curadoria de cifras.

Por exemplo, a Netflix também adotou recentemente o TLS 1.3, e melhorias observadas na experiência do usuário em torno do atraso de reprodução (relacionadas à rede) e rejeitantes (geralmente relacionados à CPU).

Como um benefício adicional, os clientes que precisam atender aos requisitos do NIST, incluindo muitos u.S. As agências governamentais e seus contratados podem começar a atender ao requisito de apoiar o TLS 1.3 à frente do NIST’s 1 de janeiro de 2024 Prazo.

O que’está a seguir?

TLS 1.3 rapidamente assumiu a responsabilidade de garantir grandes faixas dos clientes do Google Cloud’ tráfego da Internet, e esperamos que essa proporção cresça à medida que mais clientes ganham suporte para isso. Nós’re (já!) trabalhando no próximo conjunto de protocolos modernos para trazer para nossos clientes do Google Cloud – incluindo o TCP BBRV2, bem como o IETF QIC e o HTTP/3, que estão próximos de ser finalizados. Nós’também planeja apoiar o TLS 1.3 0-RTT (embora os clientes precisem atualizar seus aplicativos para se beneficiar) e compressão de certificado.

Google usa TLS

Atualizações do espaço de trabalho do Google

Este feed oficial da equipe do Google Workspace fornece informações essenciais sobre novos recursos e melhorias para clientes do Google Workspace.

Quinta -feira, 2 de abril de 2020

Melhore a segurança por email no Gmail com o TLS por padrão e outros novos recursos

O que’s mudando

Recentemente, o blog do Google Security descreveu como o uso da segurança da camada de transporte (TLS) cresceu para mais de 96% de todo o tráfego visto por um navegador Chrome no Chrome OS. O post do blog também destacou um objetivo significativo: ativar o TLS por padrão para nossos produtos e serviços do Google e garantir que o TLS funcione fora da caixa.

O Gmail já suporta o TLS, de modo que, se a conexão de correio SMTP (Simple Mail Transfer Protocol) puder ser protegida através de TLS, será. No entanto, para incentivar mais organizações a aumentar sua postura de segurança por e -mail e a aumentar o objetivo de permitir o TLS por padrão, nós’Fiz as seguintes alterações:

  • TLS para conexões de email agora será ativado por padrão
  • Os administradores agora podem testar suas rotas de saída SMTP’ Configuração do TLS no console do administrador antes da implantação. Eles não precisam mais esperar que as mensagens saltem.

Quem’é impactado

Por que isso’é importante

Sempre recomendamos que os administradores atendam recursos de segurança de email existentes, incluindo SPF, DKIM e DMARC, para ajudar a proteger os usuários finais. Também recomendamos que os administradores atendam o MTA Strict Transport Security (MTA-STS), o que melhora a segurança do Gmail, exigindo verificações de autenticação e criptografia para email enviadas para seus domínios. A ativação do TLS por padrão em novas rotas de correio SMTP aprimora a postura de segurança de nossos clientes, permitindo que os administradores testem conexões antes de aplicar o TLS nas rotas existentes, facilita a implantação de políticas de segurança de práticas recomendadas.

Esta alteração não afetará as rotas de correio que foram criadas anteriormente.

Detalhes adicionais

TLS ativado por padrão em novas rotas de correio
Com o TLS ativado por padrão para novas rotas de correio, todos os requisitos de validação de certificação também são ativados por padrão. Isso garante que os hosts do destinatário tenham um certificado emitido para o host correto que foi assinado por uma autoridade de certificação confiável (CA). Veja mais detalhes sobre como nós’está alterando os requisitos para CAS confiável abaixo.

Os administradores ainda terão a capacidade de personalizar suas configurações de segurança do TLS em rotas de correio recém -criadas. Por exemplo, se o email for encaminhado para servidores de correio de terceiros ou no local usando certificados de CA internos, os administradores podem precisar desativar a validação de certificação CA. Desativar a validação de certificado de CA, ou mesmo desativar TLS inteiramente, não é recomendado. Incentivamos os administradores a testar sua configuração SMTP TLS no console do administrador para validar a conexão TLS com servidores de correio externos antes de desativar quaisquer validações recomendadas. Veja mais detalhes sobre como testar as conexões TLS no console do administrador.

Autoridade de certificado desconfiar no gmail
No passado, o blog do Google Security destacou casos em que o Chrome não confiaria mais em certificados de raiz de raiz usados ​​para interceptar o tráfego na Internet pública e onde o Chrome desconfia CAS específicos.

Se esses cenários ocorrerem no futuro, esses certificados também serão desconfiados pelo Gmail. Quando isso acontece, o correio enviado usando rotas que exigem TLS com a aplicação do certificado assinado por CA podem saltar se a CA não for mais confiável. Embora a lista de certificados raiz confiáveis ​​pelo Gmail possa ser recuperada do repositório do Google Trust Services, incentivamos os administradores a usar o recurso de conexões TLS de teste no console do administrador para confirmar se os certificados foram desconfiados.

Teste as conexões TLS no Console Admin
Os administradores agora podem usar o novo recurso de conexão TLS de teste para verificar se uma rota de correio pode estabelecer com sucesso uma conexão TLS com validação total a qualquer destino, como um servidor de correio no local ou um relé de correio de terceiros, antes de aplicar o TLS para esse destino.

Começando

Administradores:

Configurações do TLS
O TLS estará ligado por padrão para todas as novas rotas de correio. Recomendamos que os administradores revisem todas as rotas existentes e permitam todas as opções de segurança TLS recomendadas para essas rotas também.

Testando conexões TLS
Administradores que desejam exigir uma conexão TLS segura para e -mails agora pode verificar se a conexão com o servidor de email do destinatário é válida simplesmente clicando em “Teste a conexão TLS” botão no console do administrador; Eles não precisam mais esperar que os e -mails saltem.

Todas as validações de certificação agora estão ativadas por padrão ao criar uma nova configuração de conformidade do TLS.

TLS e todas as validações de certificação agora estão ativadas por padrão ao criar uma nova rota de correio.

Usuários finais: Não há configurações de usuário final para esses recursos.

Ritmo de lançamento

  • Domínios de liberação rápida e programada: lançamento estendido (potencialmente mais de 15 dias para visibilidade dos recursos) a partir de 2 de abril de 2020

Disponibilidade

  • Disponível para todos os clientes da G Suite

Recursos

  • Ajuda do administrador da suíte G: exige que a correspondência seja transmitida por meio de uma conexão segura (TLS)
  • Ajuda do administrador de suíte G: Adicionar rotas de correio para entrega avançada do Gmail
  • Ajuda do administrador da suíte G: Visão geral das conexões SSL
  • Ajuda do administrador da suíte G: Configure um gateway de correio de saída
  • Ajuda do administrador da suíte G: integrar o Gmail com uma solução de arquivamento de terceiros