從昨日起，雅虎將對所有郵件連接做默認加密，這和2010年谷歌為Gmail用戶所采取的措施一樣。

雅虎去年10月就宣布要對郵件加密，到今年1月8號，雅虎已經在瀏覽器中默認使用SSL加密，為大約兩億雅虎郵箱用戶提升安全性能。

這一提升意味著雅虎郵箱的用戶不再需要手動為賬戶啟用SSL加密，這種加密方式是將瀏覽器和雅虎Web服務器之間的數據傳輸做加密處理，目的是確保用戶所訪問網站的真實性。

“任何時候你使用雅虎郵箱——通過電腦網頁，移動設備網頁，移動應用或是IMAP，POP或SMTP——都是百分之百默認加密的，而且使用2048字節的證書保護，”雅虎通信產品SVP Jeff Bonforte在公司博客中寫道。

據波士頓安全公司Rapid7 的Metasploit工程經理Tod Beardsley雖然默認加密對雅虎用戶而言是好消息，但它的安全性不如Facebook，Twitter和谷歌以前部署HTTPS部署。

“雅虎稱雖然已經為所有雅虎郵件用戶啟用了HTTPS加密，但這一措施不僅來得有點晚，而且還帶來了新的問題。雅虎不支持PFS(Perfect Forward Secrecy)，”Beardsley向ZDnet記者透露。

PFS可以阻止Retrospective Decryption(黑客現在捕獲的加密對話，但無法立刻獲取解密的密鑰。)萬一以后黑客獲取密鑰——比如通過入侵雅虎服務器，或法院指令——他們就可以解密之前截獲的對話。

在PFS下生成的密鑰的效用是臨時的，如果被攻擊者截獲，會讓攻擊者感到更棘手。

“如果使用PFS，那么在HTTPS對話開啟之前，就會出現另一個加密的對話，這樣當前密鑰就無效。即便有攻擊者獲取了一個臨時密鑰，那這個密鑰也僅對那個對話有效。他們需要為每個解密的對話重新弄一個新的唯一的密鑰。”

谷歌，Facebook和Twitter則使用Elliptical Curve Diffie-Hellman Exchange，因為此法可以生成一個一次性的密鑰。

“我找不到一個合理的理由來喜歡這個功能較弱的加密策略，”他如此評論雅虎的加密部署。

谷歌在2010年啟用了默認的SSL加密，在2011年對登錄用戶啟用默認SSL搜索加密，現在又為所有的搜索服務啟用了SSL加密。在11月，谷歌將所有SSL證書升級到了2048字節的RSA，密鑰長度增加使得黑客更難破解SSL連接。

雅虎計劃實施默認加密，是在斯諾登揭露美國NSA針對美國主要互聯網公司的間諜項目之后。

雅虎也對NSA的行為做出了響應，雅虎承諾要把所有從互聯網傳入其服務器的數據以及在其數據中心之間傳輸的數據全部加密，而后者就是對NSA“Muscular”項目做出的回應，因為“Muscular”利用的就是雅虎和谷歌數據中心之間未加密的鏈接。