Przenoszenie nowoczesnego bezpieczeństwa transportu do Google Cloud z TLS 1.3

Na przykład Netflix również niedawno przyjął TLS 1.3 i obserwowane ulepszenia doświadczenia użytkownika w zakresie opóźnienia odtwarzania (powiązane z siecią) i odwołanie (często powiązane z procesorem).

Google zawsze używa TLS/SSL do połączeń Gmaila

Z przyjemnością przeczytaliśmy, że Google zmienia teraz swoją usługę Gmaila na zawsze Użyj połączeń kruche TLS. Jak zauważają w swoim wpisie na blogu Ogłoszenie:

Od dzisiaj Gmail zawsze będzie używać zaszyfrowanego połączenia HTTPS podczas sprawdzania lub wysyłania wiadomości e -mail. Gmail obsługiwał HTTPS od dnia jego uruchomienia, aw 2010 roku uczyniliśmy HTTPS domyślnie. Dzisiejsza zmiana oznacza to Nikt nie może słuchać twoich wiadomości, gdy przechodzą między tobą a serwerami Gmaila– Nie ma znaczenia, jeśli używasz publicznego Wi -Fi lub logowania z komputera, telefonu lub tabletu.

Kluczową kwestią jest ten, który podkreśliłem w tekście: Atakerzy nie mogą słuchać twoich wiadomości, gdy przechodzą między klientem poczty (który może być twoją przeglądarką internetową) i serwerami Gmaila. Oczywiście wiadomości mogą być nadal potencjalnie przeglądane na urządzeniu klienta lub na serwerach Gmaila… ale ten krok jest usuwając możliwość wyświetlania wiadomości „na drucie”.

To świetny przykład tego rodzaju działań, które chcielibyśmy, aby komunikacja przez Internet była bardziej bezpieczna- i dlaczego uruchomiliśmy naszą nową sekcję „TLS dla aplikacji” tej witryny. Chcemy zachęcić więcej dostawców aplikacji i programistów do podjęcia kroków, które Google zrobił tutaj.

Uznanie dla zespołu Google/Gmail za zrobienie tego kroku!

Oświadczenie: Punkty widzenia wyrażone w tym poście są punkty autora i mogą, ale nie musi odzwierciedlać oficjalnych stanowisk społeczeństwa internetowego.

Czy Google używa TLS

Menedżer produktu, CDN

Gabriel Redner

Inżynier oprogramowania, Cloud LB

Spędzamy dużo czasu na myśleniu o tym, jak poprawić protokoły internetowe w Google – zarówno dla naszych klientów Google Cloud i dla naszych własnych nieruchomości. Z naszej pracy rozwijając się SPDY w HTTP/2 i Quic w HTTP/3, wiemy, że poprawa protokołów, których używamy w Internecie, ma kluczowe znaczenie dla poprawy wrażenia użytkowników.

Transport Warstwa Security lub TLS to rodzina protokołów internetowych, które Google odegrał ważną rolę w opracowywaniu. Wcześniej znany jako SSL, TLS jest główną metodą zabezpieczenia połączeń internetowych między serwerami a ich klientami. Najpierw włączyliśmy TLS 1.3 w Chrome w październiku 2018 r., W tym samym czasie, gdy Mozilla przyniosła go do Firefox. Dziś większość współczesnych klientów obsługuje TLS 1.3, w tym najnowsze wersje Androida, Apple iOS i Microsoft’s Edge Browser, a także Boringssl, OpenSSL i Libcurl. Obsługa TLS 1.3 jest szeroko zakrojone i przynosi korzyści wydajności i bezpieczeństwa dużej części Internetu.

Biorąc to pod uwagę, niedawno wprowadziliśmy TLS 1.3 jako domyślne dla wszystkich nowych i istniejących klientów CDN i globalnych obciążenia. TLS 1.3 jest już używane w ponad połowie połączeń TLS w całym Google Cloud, prawie na miejscu z Google na dużym poziomie.

Aby zyskać pewność, że moglibyśmy to bezpiecznie i bez negatywnego wpływu na użytkowników końcowych, wcześniej włączyliśmy TLS 1.3 w poszukiwaniu, Gmaila, YouTube i wiele innych usług Google. Monitorowaliśmy również informacje zwrotne, które otrzymaliśmy, gdy wdrożyliśmy TLS 1.3 w Chrome. To wcześniejsze doświadczenie pokazało, że możemy bezpiecznie włączyć TLS 1.3 w Google Cloud domyślnie, nie wymagając od klientów ręcznej aktualizacji swoich konfiguracji.

Co to jest tls 1.3 i co przynosi?

TLS 1.3 to najnowsza wersja protokołu TLS i zapewnia znaczące ulepszenia bezpieczeństwa dla Ciebie i Twoich użytkowników, dostosowana do naszego celu zabezpieczenia Internetu.

  • Nowoczesne szyfry i algorytmy wymiany kluczy, z tajemnicą do przodu jako linię bazową.
  • Usunięcie starszych, mniejszych szyn i metod wymiany kluczowych, a także ogólne zmniejszenie złożoności protokołu.
  • Niskie opóźnienie uścisku dłoni (jedna podróż w obie strony i serwer) dla pełnych uścisków dłoni, co bezpośrednio przyczynia się do dobrego doświadczenia użytkownika końcowego.

Ta kombinacja korzyści z zakresu wydajności i bezpieczeństwa jest szczególnie godna uwagi: postrzeganie jest często, że jedno należy wymieniać jedno dla drugiego, ale nowoczesne projekty mogą poprawić oba oba. W szczególności TLS 1.3 może mieć ogromne korzyści dla użytkowników:

  • Zatrzymane sieci, które są szczególnie istotne w czasach zwiększonego użytkowania w Internecie.
  • Połączenia o wyższym opóźnieniu-zwłaszcza urządzenia komórkowe (mobilne)-gdzie zmniejszenie w obie strony jest szczególnie znaczące.
  • Urządzenia o niskiej mocy, dzięki wyselekcjonowanej listy szyfrów.

Na przykład Netflix również niedawno przyjął TLS 1.3 i obserwowane ulepszenia doświadczenia użytkownika w zakresie opóźnienia odtwarzania (powiązane z siecią) i odwołanie (często powiązane z procesorem).

Jako dodatkową korzyść klienci, którzy muszą spełniać wymagania NIST, w tym wielu u.S. agencje rządowe i ich kontrahenci mogą zacząć zająć się wymogiem wspierania TLS 1.3 Przed terminem NIST 1 stycznia 2024.

Co dalej?

TLS 1.3 szybko wziął odpowiedzialność za zabezpieczenie dużych pokosów ruchu internetowego Google Cloud Klients i oczekujemy, że proporcja wzrośnie, ponieważ więcej klientów zyska na tym wsparcie. Już były!) Praca nad kolejnym zestawem nowoczesnych protokołów, aby wprowadzić naszych klientów Google Cloud – w tym TCP BBRV2, a także IETF Quic i HTTP/3, które są bliskie finalizacji. Planujemy również wspierać TLS 1.3 0-RTT (chociaż klienci będą musieli


Przenoszenie nowoczesnego bezpieczeństwa transportu do Google Cloud z TLS 1.3

Na przykład Netflix również niedawno przyjął TLS 1.3 i obserwowane ulepszenia doświadczenia użytkownika w zakresie opóźnienia odtwarzania (powiązane z siecią) i odwołanie (często powiązane z procesorem).

Google zawsze używa TLS/SSL do połączeń Gmaila

Z przyjemnością przeczytaliśmy, że Google zmienia teraz swoją usługę Gmaila na zawsze Użyj połączeń kruche TLS. Jak zauważają w swoim wpisie na blogu Ogłoszenie:

Od dzisiaj Gmail zawsze będzie używać zaszyfrowanego połączenia HTTPS podczas sprawdzania lub wysyłania wiadomości e -mail. Gmail obsługiwał HTTPS od dnia jego uruchomienia, aw 2010 roku uczyniliśmy HTTPS domyślnie. Dzisiaj’zmiana oznacza to Nikt nie może słuchać twoich wiadomości, gdy idą między tobą a Gmailem’serwery S– Nie ma znaczenia, jeśli ty’ponowne użycie publicznego Wi -Fi lub logowania z komputera, telefonu lub tabletu.

Kluczową kwestią jest ten, który podkreśliłem odważnie w tekście: atakujący nie mogą słuchać wiadomości, gdy przechodzą między klientem poczty (który może być twoją przeglądarką internetową) i Gmailem’serwery S. Oczywiście wiadomości mogą być nadal potencjalnie przeglądane na urządzeniu klienckim lub na Gmailu’serwery S… ale ten krok jest usuwanie możliwości przeglądania wiadomości “na przewodzie”.

To świetny przykład tego rodzaju akcji’D chciałbym zobaczyć, aby komunikacja przez Internet była bardziej bezpieczna- i dlaczego uruchomiliśmy nasz nowy “TLS dla aplikacji” sekcja tej witryny. Chcemy zachęcić więcej dostawców aplikacji i programistów do podjęcia kroków, które Google zrobił tutaj.

Uznanie dla zespołu Google/Gmail za zrobienie tego kroku!

Oświadczenie: Punkty widzenia wyrażone w tym poście są punkty autora i mogą, ale nie musi odzwierciedlać oficjalnych stanowisk społeczeństwa internetowego.

Czy Google używa TLS

Menedżer produktu, CDN

Gabriel Redner

Inżynier oprogramowania, Cloud LB

Spędzamy dużo czasu na myśleniu o tym, jak poprawić protokoły internetowe w Google – zarówno dla naszych klientów Google Cloud i dla naszych własnych nieruchomości. Z naszej pracy rozwijając się SPDY w HTTP/2 i Quic w HTTP/3, wiemy, że poprawa protokołów, których używamy w Internecie, ma kluczowe znaczenie dla poprawy wrażenia użytkowników.

Transport Warstwa Security lub TLS to rodzina protokołów internetowych, które Google odegrał ważną rolę w opracowywaniu. Wcześniej znany jako SSL, TLS jest główną metodą zabezpieczenia połączeń internetowych między serwerami a ich klientami. Najpierw włączyliśmy TLS 1.3 w Chrome w październiku 2018 r., W tym samym czasie, gdy Mozilla przyniosła go do Firefox. Dziś większość współczesnych klientów obsługuje TLS 1.3, w tym najnowsze wersje Androida, Apple’S iOS i Microsoft’S Browser, a także Boringssl, OpenSSL i Libcurl. Obsługa TLS 1.3 jest szeroko zakrojone i przynosi korzyści wydajności i bezpieczeństwa dużej części Internetu.

Biorąc to pod uwagę, niedawno wprowadziliśmy TLS 1.3 jako domyślne dla wszystkich nowych i istniejących klientów CDN i globalnych obciążenia. TLS 1.3 jest już używane w ponad połowie połączeń TLS w całym Google Cloud, prawie na miejscu z Google na dużym poziomie.

Aby zyskać pewność, że moglibyśmy to bezpiecznie i bez negatywnego wpływu na użytkowników końcowych, wcześniej włączyliśmy TLS 1.3 w poszukiwaniu, Gmaila, YouTube i wiele innych usług Google. Monitorowaliśmy również informacje zwrotne, które otrzymaliśmy, gdy wdrożyliśmy TLS 1.3 w Chrome. To wcześniejsze doświadczenie pokazało, że możemy bezpiecznie włączyć TLS 1.3 w Google Cloud domyślnie, nie wymagając od klientów ręcznej aktualizacji swoich konfiguracji.

Co to jest tls 1.3 i co przynosi?

TLS 1.3 to najnowsza wersja protokołu TLS i zapewnia znaczące ulepszenia bezpieczeństwa dla Ciebie i Twoich użytkowników, dostosowana do naszego celu zabezpieczenia Internetu.

W szczególności TLS 1.3 zapewnia:

  • Nowoczesne szyfry i algorytmy wymiany kluczy, z tajemnicą do przodu jako linię bazową.
  • Usunięcie starszych, mniejszych szyn i metod wymiany kluczowych, a także ogólne zmniejszenie złożoności protokołu.
  • Niskie opóźnienie uścisku dłoni (jedna podróż w obie strony i serwer) dla pełnych uścisków dłoni, co bezpośrednio przyczynia się do dobrego doświadczenia użytkownika końcowego.

Ta kombinacja korzyści z zakresu wydajności i bezpieczeństwa jest szczególnie godna uwagi: postrzeganie jest często, że jedno należy wymieniać jedno dla drugiego, ale nowoczesne projekty mogą poprawić oba oba. W szczególności TLS 1.3 może mieć ogromne korzyści dla użytkowników:

  • Zatrzymane sieci, które są szczególnie istotne w czasach zwiększonego użytkowania w Internecie.
  • Połączenia o wyższym opóźnieniu-zwłaszcza urządzenia komórkowe (mobilne)-gdzie zmniejszenie w obie strony jest szczególnie znaczące.
  • Urządzenia o niskiej mocy, dzięki wyselekcjonowanej listy szyfrów.

Na przykład Netflix również niedawno przyjął TLS 1.3 i obserwowane ulepszenia doświadczenia użytkownika w zakresie opóźnienia odtwarzania (powiązane z siecią) i odwołanie (często powiązane z procesorem).

Jako dodatkową korzyść klienci, którzy muszą spełniać wymagania NIST, w tym wielu u.S. agencje rządowe i ich kontrahenci mogą zacząć zająć się wymogiem wspierania TLS 1.3 przed NIST’S 1 stycznia 2024 termin.

Co’s następny?

TLS 1.3 szybko wziął odpowiedzialność za zabezpieczenie dużych pokosów klientów Google Cloud’ ruch internetowy i oczekujemy, że proporcja będzie rosła, ponieważ więcej klientów zyskuje dla niego wsparcie. My’re (już!) Praca nad kolejnym zestawem nowoczesnych protokołów, aby wprowadzić naszych klientów Google Cloud – w tym TCP BBRV2, a także IETF Quic i HTTP/3, które są bliskie finalizacji. My’Re również planuje wspierać TLS 1.3 0-RTT (choć klienci będą musieli zaktualizować swoje aplikacje, aby z nich skorzystać) i kompresję certyfikatu.

Czy Google używa TLS

Aktualizacje przestrzeni roboczej Google

Ten oficjalny kanał z zespołu Google Workspace dostarcza istotnych informacji o nowych funkcjach i ulepszeniach dla klientów Google Workspace.

Czwartek, 2 kwietnia 2020

Domyślnie poprawić bezpieczeństwo e -mail w Gmailu z TLS i innymi nowymi funkcjami

Co’S zmienia się

Niedawno blog Google Security określił, w jaki sposób wykorzystanie bezpieczeństwa warstwy transportowej (TLS) wzrosło do ponad 96% całego ruchu widzianego przez chromowaną przeglądarkę w Chrome OS. Post na blogu podkreślił również znaczący cel: domyślnie włączenie TLS dla naszych produktów i usług Google oraz zapewnienie, że TLS działa po pudełku.

Gmail już obsługuje TLS, więc jeśli połączenie pocztowe prostego protokołu przesyłania poczty (SMTP) można było zabezpieczyć za pośrednictwem TLS, będzie to. Jednak w celu zachęcenia większej liczby organizacji do zwiększenia pozycji bezpieczeństwa e -mail oraz do dalszego powyższego celu, jakim jest domyślnie umożliwić TLS’VE wprowadził następujące zmiany:

  • TLS dla połączeń pocztowych będą teraz domyślnie włączone
  • Administrowie są teraz w stanie przetestować swoje trasy wychodzące SMTP’ Konfiguracja TLS w konsoli administracyjnej przed wdrożeniem. Nie muszą już czekać, aż wiadomości się odbijają.

Kto’S wpłynął

Dlaczego to’s Ważne

Zawsze zalecamy, aby administrowie włączyli istniejące funkcje bezpieczeństwa poczty, w tym SPF, DKIM i DMARC, aby chronić użytkowników końcowych. Zalecamy również, aby administratorzy włączyli MTA Strict Transport Security (MTA-STS), który poprawia bezpieczeństwo Gmaila, wymagając kontroli uwierzytelnienia i szyfrowania wiadomości e-mail wysyłanych do ich domen. Domyślnie włączanie TLS na nowych trasach pocztowych SMTP poprawia postawę bezpieczeństwa naszych klientów, jednocześnie umożliwiając administratorom testowanie połączeń przed egzekwowaniem TLS na istniejących trasach ułatwia im wdrażanie zasad bezpieczeństwa najlepszych praktyk.

Ta zmiana nie wpłynie na trasy pocztowe, które zostały wcześniej utworzone.

Dodatkowe Szczegóły

TLS włączone domyślnie na nowych trasach pocztowych
Przy domyślnie włączono TLS dla nowych tras pocztowych, wszystkie wymagania sprawdzania certyfikatu są również domyślnie włączone. Zapewnia to, że gospodarze odbiorcy mają certyfikat dla właściwego hosta, który został podpisany przez zaufany Urząd Świadectwa (CA). Zobacz więcej szczegółów na temat tego, jak my’Ponownie zmiana wymagań dotyczących zaufanego CAS poniżej.

Administrowie nadal będą mieli możliwość dostosowania ustawień bezpieczeństwa TLS na nowo utworzonych trasach pocztowych. Na przykład, jeśli poczta jest przekazywana do serwerów poczty innej osoby lub lokalne za pomocą wewnętrznych certyfikatów CA, administriny mogą wymagać wyłączenia sprawdzania poprawności certyfikatu CA. Wyłączanie walidacji certyfikatu CA, a nawet wyłączenie TLS, nie jest zalecane. Zachęcamy administratorów do testowania konfiguracji TLS SMTP w konsoli administracyjnej w celu weryfikacji połączenia TLS z zewnętrznymi serwerami pocztowymi przed wyłączeniem zalecanych walidacji. Zobacz więcej szczegółów na temat testowania połączeń TLS w konsoli administracyjnej.

Urząd certyfikatu nieufność w Gmailu
W przeszłości blog Google Security podkreślił przypadki, w których Chrome nie ufałby już certyfikatom root CA używane do przechwytywania ruchu w publicznym Internecie i gdzie nieufność Chrome określona przez CAS.

Jeśli te scenariusze wystąpią w przyszłości, certyfikaty te będą również nieufne przez Gmaila. Kiedy tak się dzieje, poczta wysłana za pomocą tras wymagających TLS z wymuszaniem certyfikatu podpisanego przez CA może się odbijać, jeśli CA nie jest już zaufane. Chociaż lista certyfikatów głównych zaufanych przez Gmaila może zostać odzyskana z repozytorium usług Google Trust, zachęcamy administratorów do korzystania z funkcji testowych połączeń TLS w konsoli administracyjnej, aby potwierdzić, czy certyfikaty były nieufne.

Test połączenia TLS w konsoli administracyjnej
Administratorzy mogą teraz skorzystać z nowej funkcji połączenia TLS, aby sprawdzić, czy trasa pocztowa może z powodzeniem ustanowić połączenie TLS z pełną walidacją z dowolnym miejscem docelowym, takim jak lokalny serwer pocztowy lub przekaźnik poczty innej firmy, przed egzekwowaniem TLS dla tego miejsca docelowego.

Rozpoczęcie pracy

Administrowie:

Ustawienia TLS
TLS będzie domyślnie włączony dla wszystkich nowych tras pocztowych. Zalecamy, aby administrowie sprawdzali wszystkie istniejące trasy i włączyli wszystkie zalecane opcje bezpieczeństwa TLS również dla tych tras.

Testowanie połączeń TLS
Administratorzy, którzy chcą wymagać bezpiecznego połączenia TLS dla wiadomości e -mail, mogą teraz sprawdzić, czy połączenie z serwerem pocztowym odbiorcy jest prawidłowe po prostu klikając “Test TLS Połączenie” przycisk w konsoli administracyjnej; Nie muszą już czekać, aż e -maile się odbijają.

Wszystkie walidacje certyfikatów są teraz domyślnie włączone podczas tworzenia nowego ustawienia zgodności TLS.

TLS i wszystkie weryfikacje certyfikatów są teraz domyślnie włączone podczas tworzenia nowej trasy pocztowej.

Użytkownicy końcowi: Nie ma ustawień użytkowników końcowych dla tych funkcji.

Wprowadzenie tempa

  • Szybkie i zaplanowane domeny wydania: rozszerzone wdrożenie (potencjalnie dłuższe niż 15 dni dla widoczności funkcji), rozpoczynając się 2 kwietnia 2020 r

Dostępność

  • Dostępne dla wszystkich klientów G Suite

Zasoby

  • G Suite Administrator: Wymagaj przesyłania poczty za pośrednictwem bezpiecznego (TLS) Connection
  • G Suite Administrator: Dodaj trasy pocztowe do zaawansowanej dostawy Gmaila
  • G Suite Administrator: Przegląd połączeń SSL
  • G Suite Administrator: Skonfiguruj bramę pocztową wychodzącą
  • G Suite Admin Help: Zintegruj Gmail z rozwiązaniem archiwizacji strony trzeciej