Het Gmail-team meldt de keuze voor betere beveiliging op het eigen blog. De ontwikkelaars van Google verklaren dat die standaardinstelling eerder niet is toegepast omdat het gebruik van een beveiligde verbinding via https de mailervaring langzamer kan maken. Het dataverkeer tussen de browser en de Gmail-servers wordt dan immers versleuteld. De verbinding met de login-pagina was altijd al voorzien van encryptie.

Half jaar onderzoek

"We hebben de 'tradeoff' tussen beveiliging en vertraging (latency) de afgelopen maanden onderzocht, en nu besloten dat https aanzetten voor alle gebruikers de correcte handelswijze is", blogt hoofdingenieur Sam Schillace van het Gmail-team. Dat onderzoek is sinds juni vorig jaar gedaan. Google is toen onder vuur gekomen voor de onbeveiligde verbindingen naar online-applicaties als Gmail, maar ook Google Docs en Calendar.

Een groep van 38 security-experts, waaronder de Nederlandse professor Bart Jacobs, heeft in een open brief aan de internetreus gepleit voor 'default https'. Het onderscheppen van e-mails, documenten en andere gevoelige gegevens is anders een fluitje van een cent, aldus de security-onderzoekers. "Als het gaat om cloud computing, moet je misschien een minimumniveau afdwingen", legde professor Jacobs toen uit aan Webwereld.

Goed voorbeeld

Hij erkende toen dat Google niet de enige 'boosdoener' is wat betreft het niet standaard aanzetten - of geheel niet bieden - van https. "Google is natuurlijk de grote speler hier. Mijn - misschien naïeve - hoop is dat als er nu veel aandacht voor komt en Google dit gaat aanpassen, de druk komt op andere partijen om het ook te doen", aldus Jacobs.

"Google is over het algemeen redelijk responsive met dit soort zaken. Dat speelt ook mee." Het bedrijf heeft toen gelijk al gereageerd met de toezegging dat het een proef zou doen voor een beperkt aantal gebruikers. Nu activeert het bedrijf https voor alle Gmail-gebruikers. Die overgang kan wel voor problemen zorgen in combinatie met offline-mail. Google biedt een oplossing hiervoor op zijn support-site.