怎样对Gmail的会话过程进行完全加密

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：乍得·佩林

本文将告诉你，如何在检查电子邮件的时间对Gmail的整个会话过程进行完全加密，以及为什么要这样做的原因。
--------------------------------------------------------------------------------------------

当Gmail在2004年出现后，它很快就变得普及且著名。但直到不久之前，安全专家才对其安全方面提出疑问。很多这样的问题实际上都牵扯到商业模式，举例来说，谷歌会对电子邮件的内容进行分析并提供有针对性的广告。

然而，这里有一个非常基本的问题，和利用加密的浏览器会话连接一个Gmail帐户的过程有关。 Gmail默认对验证程序进行了加密，但没有加密其余的用户会话过程。

访问https：//mail.google.com而不是http://mail.google.com，等于手动指定一个加密的连接应用，但用户会发现在加密连接中经常出现未加密的情况。有没有办法对Gmail进行简单的配置，以实现整个会话过程的加密。

启用会话全面加密

在2008年7月，这方面的情况已经开始发生了变化。现在，Gmail提供了一个可以对安全超文本传输协议（HTTPS）进行详细设置的页面，你可以在帐户中进行配置，选择使用传输层安全协议对整个会话过程进行加密。

为你的Gmail帐户打开传输层安全协议加密的操作过程很简单。

1. 登录到你的Gmail帐户中，并点击在右上角的配置链接：

2. 在配置页面上，选择“在连接的时间始终使用安全超文本传输协议（HTTPS）”的选项：

3. 点击保存改变的设置的按键：

这就完成了整个操作。

为什么这样做很重要

关于为什么对整个会话过程进行加密非常重要，在通常情况下的答案至少包括了以下三个方面：

1. 你应该希望自己的信息受到保护，并尽可能少得被其它人关注。确实，即使会话加密以后谷歌还是可以查看你的的电子邮件—由此延伸出来的，也包括了可以获得传票的执法机构和任何其他人—但至少这样可以防止一些对Gmail服务器传输的包进行窃听的初级黑客。

2. 会话加密可以降低跨站点脚本攻击成功的可能性，因为它们需要对服务器的机密数据进行拦截。

3. 它还可以减少中间人攻击成功的可能性，部分原因是因为使用传输层安全协议网站的证书验证过程属于网站建立加密连接过程中的一部分。

答案更详细的方面，特别是在当前的时间，是一种特别攻击方式的威胁。本月在内华达州拉斯维加斯举行的DEFCON安全会议上发布了一个工具，可以用来自动窃取没有加密的Gmail会话过程中的身份信息。使用该工具，你可以“闯入”没有加密的Gmail帐户。

如果你的Gmail帐户还没有打开在默认情况下使用传输层安全协议加密的功能，需要做的就是马上打开它。