Google первой среди крупных интернет-компаний внедрила на HTTPS-серверах функцию защиты от будущей потери секретного ключа (perfect forward secrecy, или PFS). Для этого разработано open-source дополнение к OpenSSL, в частности, написан быстрый генератор ключей на эллиптических кривых P-224, P-256 и P-521. По ходу работы специалисты Google также исправили несколько багов в OpenSSL.
PFS означает, что даже в случае получения (взлома) секретного серверного ключа злоумышленник не сможет расшифровать ранее перехваченный и записанный HTTPS-трафик. В настоящее время PFS считается опциональной фичей и редко используется в качестве опции HTTPS, Google стал первой крупной компанией, которая внедрила его по умолчанию. Система PFS реализована во всех HTTPS-сервисах Google (это Gmail, Google+, Google Docs, SSL Search) и поддерживается браузерами Chrome и Firefox. К сожалению, браузер IE пока не поддерживает сочетание ECDHE и RC4.
Анатолий АЛИЗАР
Горячие темы