Google moet sessies van Gmail, Docs en Calendar default versleutelen, vinden de onderzoekers. Tot nog toe biedt het internetbedrijf dit aan als opt-in, maar dat is niet afdoende om de veiligheid van de clouddiensten te waarborgen. Dat stelt een groep vooraanstaande security-onderzoekers in een uitgebreide open brief aan Google-baas Eric Schmidt.

Volgens de groep is het onderscheppen van onversleutelde mails en bestanden een fluitje van een cent en dient Google daarom https voor al zijn cloud-diensten standaard aan te zetten. Eventuele nadelige effecten door de versleuteling op de snelheid van online diensten is verwaarloosbaar, stellen de onderzoekers.

Veilig verkeer

Een van de ondertekenaars is Bart Jacobs, professor Digital Security van de Radboud universiteit. Jacobs maakt de vergelijking tussen cloud computing en het wegverkeer, waar een minimum beschermingniveau is vastgesteld via regulering.

En dat is in het algemeen belang, stelt Jacobs: "Daar ga je ook niet zeggen, laat mensen zelf maar kiezen. Als ik op straat rijd heb ik er belang bij dat uw auto ook veilig is. Ik kan https wel aanzetten, maar als ik met u mail of een document schrijf, en u heeft het niet aan, lekt de boel eventueel toch nog uit. Als het gaat om cloud computing, moet je misschien een minimumniveau afdwingen."

Waarom Google?

Jacobs erkent dat het aanschrijven van Google enigszins merkwaardig is gezien het feit dat andere webmaildiensten zoals Hotmail of Yahoo mail helemáál geen https-beveiliging bieden. Toch is Google als trekker van de cloudkar een logische keuze.

"Google is natuurlijk de grote speler hier. Mijn - misschien naïeve - hoop is dat als er nu veel aandacht voor komt en Google dit gaat aanpassen, de druk komt op andere partijen om het ook te doen", aldus Jacobs. "Google is over het algemeen redelijk responsive met dit soort zaken. Dat speelt ook mee."

Google reageerde nog dezelfde dag op de brief. Het bedrijf belooft in een blogpost dat, alhoewel ongebruikelijk in de e-mail business, het een proef zal doen door voor een aantal gebruikers Gmail standaard via een SSL-verbinding aan te bieden.

Iedereen op https

"Tenzij er negatieve effecten zijn op de gebruiksvriendelijkheid, hebben we de intentie om standaard https uit te breiden, hopelijk voor alle Gmail gebruikers," schrijft Alma Whitten op het Google securityblog. Jacobs gaat er vanuit dat dat ook daadwerkelijk gaat gebeuren.