Yahoo gaat eindelijk al zijn webmailverkeer standaard versleutelen, meldt het concern. Daarmee is het zo'n vier jaar later dan Gmail, en blijkt de implementatie ook nog eens rommelig. Het is inconsistent en op sommige vlakken onvolledig en daardoor onveilig, constateert Ivan Ristic van SSL-expert Qualys.

Zo gebruikt Yahoo voor zijn mailencryptie het RC4-algoritme, dat als zwak te boek staat. Elders gebruikt Yahoo wel AES, maar zodanig dat het niet beschermd is tegen een BEAST of CRIME-aanval. En geen enkele SSL-server van Yahoo ondersteunt perfect forward secrecy, dat tegenwoordig ook tot de best practices van encryptie behoort.

"Ik denk dat we moeten accepteren dat Yahoo meer tijd nodig heeft om zijn servers op orde te brengen waar het aankomt op encryptie, maar ze zouden wel wat transparanter mogen zijn met wat ze doen en nog van plan zijn", concludeert Ristic.

Gestuntel

Yahoo heeft geen al te beste track record op het gebied van security. Het traineerde jarenlang de versleuteling van mailverkeer, en blijkt te falen in de implementatie. Eind vorig jaar dook een ander gênant foutje op, waardoor Yahoo Mail voor veel gebruikers, waaronder Nederlandse, onbereikbaar was. De browser IE struikelde over een foutieve url met httpss in plaats van https.

Vorige week werd bekend dat Yahoo malware serveerde via advertenties. Mogelijk zo'n 2 miljoen mensen zijn hierdoor besmet met een uitgebreid exploit pakket. De malware 'voldeed niet aan onze richtlijnen' aldus Yahoo in een statement aan de Guardian.

Naar aanleiding van NSA-onthullingen is Yahoo ook van zins al het verkeer tussen zijn datacenters te gaan versleutelen.