¿Mi ISP puede leer mi gmail u otro correo electrónico incluso cuando usa HTTPS?
Supongo que pueden hacerlo ya que son el "hombre en el medio".
¿Hay alguna manera de evitar eso?
Esto está relacionado con las noticias de que en mi país (Uruguay) el gobierno ordenó a los ISP agregar un software que pueda leer todos los correos electrónicos. ( enlace )
No, solo pueden ver el tráfico cifrado que fluye de usted a los servidores de Google. No pueden ver el contenido real del tráfico (sus correos electrónicos).
Sin embargo, si su ISP lo obliga a través de un proxy web y le hace usar su certificado, entonces podrían ver el contenido de su tráfico. Sería prudente si ve certificados que no son de confianza cuando vaya a gmail.com. Puede considerar incluso usar una VPN para evitar que su ISP intente hacer cosas como esta.
Sí , su ISP y el gobierno pueden leer sus correos electrónicos, incluso cuando utiliza el cifrado debido a una serie de vulnerabilidades, y el hecho de que la mayoría de los correos electrónicos no están cifrados en los servidores del proveedor de correo electrónico.
Su ISP puede emplear una serie de tácticas para leer el correo electrónico cifrado: en primer lugar, el correo electrónico no usa HTTPS, sino que utiliza el protocolo SMTP que puede usar StartTLS para el cifrado, digo que sí, porque muchas veces no se usa StartTLS. Esto se debe a que STARTTLS es oportunista, por lo que se cifrará cuando usted, su proveedor de correo electrónico y su destinatario cumplan con ciertos criterios. Esto hace que sea bastante fácil que sus comunicaciones se vuelvan inseguras al forzar ciertas condiciones que deshabilitan StartTLS.
Es por esto que muchos correos electrónicos no están encriptados en tránsito. Aunque, algunos proveedores de correo electrónico son buenos en esto, como Google, por lo que la comunicación de Gmail a Gmail se encripta en tránsito de forma predeterminada, muchos otros no.
Pero para el propósito de la discusión, digamos que todos sus correos electrónicos están cifrados y que su ISP no hace nada que los haga viajar en texto claro, incluso sus correos electrónicos pueden leerse si el gobierno quiere leerlos. porque casi todos los correos electrónicos no están cifrados de extremo a extremo. Lo que significa que incluso si están viajando encriptados, no están encriptados en los servidores de su proveedor de correo electrónico.
Entonces, si su gobierno realmente quiere saber qué correos electrónicos está enviando, con una orden de registro, ellos pueden saberlo. El mantra de la comunidad de seguridad / privacidad ha sido que los correos electrónicos son constantemente inseguros, incluso cuando se utiliza el cifrado.
Con una buena cantidad de trabajo puede hacer que sus correos electrónicos sean seguros, pero eso requiere que el destinatario de su correo electrónico coopere, un lujo que quizás no tenga. Recomiendo evitar el correo electrónico si está preocupado por su privacidad, y si el correo electrónico es una necesidad absoluta, le recomendaría leer sobre STARTTLS, PGP y esta publicación en stackexchange si está interesado.
Alternativas de correo electrónico:
(Lo siento, solo puedo publicar dos enlaces aquí)
Sí, pueden replicar un certificado y su navegador no le advertirá al respecto:
Respuesta de otra pregunta:
Sí, es posible.
Con otro certificado válido de hoja TLS, el indicador de CA se puede omitir y ese certificado se puede usar para firmar un certificado para cualquier sitio:
Chrome y Firefox son ciertamente vulnerables a esto en sistemas sin parches (lo que probablemente sea una gran cantidad de sistemas hoy en día).