HTTPS, también conocido como SSL, solo protege los datos en tránsito. Google cambia automáticamente de HTTP a HTTPS significa que la consulta de búsqueda desde su navegador al servidor de Google se encripta. Pero en el servidor de Google, el túnel SSL finaliza y se descifra. Esto evitará el espionaje solo bajo las dos condiciones siguientes:
- De hecho, los espías observaban el tráfico entre la máquina cliente y el servidor de Google (en lugar de simplemente solicitar una copia de los datos a Google).
- El usuario realmente se da cuenta de que Google redirige a la URL de HTTPS y "se ofende" si la redirección no ocurre.
El segundo caso es contra espías activos que harían un Man-in -el ataque del medio , que es altamente factible en HTTP (sin SSL). Dado que la redirección a HTTPS se produce en el nivel HTTP, antes (por supuesto) que realmente ocurra SSL, entonces el MitM puede bloquearlo y mantener la ilusión de un servidor de Google que no sea SSL.
En cualquier caso, para una gran agencia gubernamental de los Estados Unidos como la NSA, contar con la ayuda de algunas personas en Google, para obtener una copia de los datos de la consulta, probablemente sería mucho más fácil y más eficiente que el trabajo a regañadientes de espiar Líneas de red. Google, al ser una empresa con sede en EE. UU., Cumpliría o se vería obligado a cumplir con una (pequeña) fracción del costo que implica el espionaje generalizado. La recuperación de datos de consulta de Google también funcionaría para consultas que son inconvenientes para espiar, por ejemplo. para una conexión desde un país no estadounidense a un servidor de Google no estadounidense.
Por lo tanto, me parece improbable que la habilitación de HTTPS sea realmente relevante para el supuesto espionaje de la NSA. "HTTPS para todos" es más un movimiento de marketing / relaciones públicas que una mejora real de la seguridad, en el contexto de Google y suponiendo que el "enemigo" es la NSA.