Eitan Konigsburg วิศวกรซอฟต์แวร์ของ New York Times ออกมาเขียนบล็อกถึงประเด็นความเป็นส่วนตัวของผู้อ่านว่ามีความสำคัญมากขึ้นเรื่อยๆ จากการโจมตีรูปแบบต่างๆ ตั้งแต่การติดตามผู้ใช้ทำให้เสียความเป็นส่วนตัว ไปจนถึงการเปลี่ยนข้อมูลบนเว็บข่าว นอกจากนี้อุปสรรคที่เคยทำให้การวางเซิร์ฟเวอร์ที่เป็น HTTPS ก็เริ่มลดลงไป ทาง New York Times จึงชวนให้สำนักข่าวและทุกเว็บไซต์หันมาให้บริการบน HTTPS เต็มรูปแบบภายในปี 2015 หากใครรับคำท้าก็ให้ทวีตใส่แฮชแท็ก #https2015

คำท้าทายนี้ระบุว่าเว็บที่เข้าร่วมจะต้องย้ายไป HTTPS ทั้งหมด นับตั้งแต่ตัวเว็บเอง ไปจนถึงไฟล์จาวาสคริปต์ และโฆษณาทั้งหมด

กูเกิลประกาศค้นพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL เวอร์ชัน 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE

SSL หรือ Secure Socket Layer เป็นโพรโทคอลความปลอดภัยที่ถูกสร้างโดย Netscape ในปี 1995 และ SSL 3.0 เป็นมาตรฐานเก่าที่ออกตั้งแต่ปี 1996 (เกือบ 20 ปีแล้ว) หลังจากนั้นมาตรฐานถูกเปลี่ยนชื่อเป็น TLS (Transport Layer Security) เวอร์ชันล่าสุดคือ 1.2 ออกเมื่อปี 2008 อย่างไรก็ตาม คนทั่วไปยังนิยมเรียกกันติดปากกว่า SSL อยู่ (และหลายคนเข้าใจผิดว่า SSL 3.0 ใหม่กว่า TLS 1.2)

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ได้ประกาศเปิดให้บริการ Universal SSL หรือบริการ HTTPS ฟรีสำหรับลูกค้าทุกรายแล้ว ตรงตามข่าวลือก่อนหน้า โดยจะทยอยเปิดให้ลูกค้าฟรีทุกคน คาดว่าจะเสร็จภายในเช้าวันพรุ่งนี้ตามเวลาประเทศไทย

บริการ Universal SSL มีข้อจำกัดหลายประการเทียบกับบริการ SSL ของ CloudFlare สำหรับลูกค้าเสียเงิน โดย Universal SSL จะรองรับเฉพาะเบราว์เซอร์รุ่นใหม่ ที่รองรับการเข้ารหัสแบบ ECDSA และรองรับมาตรฐานเสริม SNI เท่านั้น ทาง CloudFlare กล่าวว่าปัจจุบัน ทราฟฟิกที่มาจากเบราว์เซอร์รุ่นใหม่มีถึงมากกว่า 80% แล้ว (เบราว์เซอร์เก่าที่สำคัญมี Internet Explorer 6 และแอนดรอยด์ก่อน ICS)

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ จะมีอายุครบ 4 ปีในวันนี้ (27 ก.ย.) เพื่อเฉลิมฉลองโอกาสดังกล่าว CloudFlare ประกาศว่าจะมี "สิ่งใหญ่" เกิดขึ้นในวันที่ 29 ก.ย. ซึ่งตรงกับวันจันทร์ที่จะถึงนี้

ทาง CloudFlare ระบุว่า ตลอด 4 ปีที่ผ่านมา บริษัททำให้อินเทอร์เน็ตดีขึ้นมาก ได้พยายามแก้ปัญหาของอินเทอร์เน็ตหลายประการ และยังคงพัฒนาอยู่ตลอด และในวันดังกล่าว บริษัทจะทำให้อินเทอร์เน็ตปลอดภัยขึ้นอีกมาก

ทั้งนี้ คาดการณ์กันว่าประกาศดังกล่าวจะเป็นบริการ HTTPS ฟรี เนื่องจากหากนำตัวอักษรตัวแรกของทุกย่อหน้าในประกาศดังกล่าว จะอ่านได้ว่า "SSL TLS FREE" และได้เคยประกาศไว้ว่าจะให้บริการนี้ภายในเดือนตุลาคม

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า

เมื่อไม่กี่วันที่ผ่านมา วงการเว็บโดยเฉพาะผู้ที่ทำเว็บแบบเข้ารหัส HTTPS ทั้งหลายอาจจะได้อ่านข่าวเล็กๆ ข่าวหนึ่ง คือ Chrome กำลังจะประกาศว่าใบรับรองดิจิตอลที่ยืนยันความถูกต้องด้วย SHA-1 จะถือว่าไม่ปลอดภัยอีกต่อไป ความโหดร้ายของกูเกิลคือทางกูเกิลประกาศมาโดยให้เวลาเพียงไม่กี่วันก่อนที่จะเริ่มบังคับใช้กฎใหม่นี้ ดังนั้นภายในสิ้นเดือนนี้เราอาจจะพบว่าเว็บที่เข้ารหัสได้รับผลกระทบกันเป็นวงกว้าง

บทความนี้เขียนขึ้นเพื่อแบ่งปัน "ผู้ดูแลระบบ" ทุกท่านที่ต้องดูแลเว็บที่เข้ารหัสอยู่ ว่าทำไมท่านนั่งอยู่ดีๆ ถึงได้งานเข้า (เหมือนทีมงาน Blognone ที่นั่งแก้ใบรับรองกันในวันนี้)

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม

ข่าว NSA ที่ Blognone นำเสนอมาตลอดสร้างปรากฎการณ์ไปทั่วโลกคือเว็บที่เคยถูกมองว่าไม่เสี่ยงต่อการถูกดักฟังนักเริ่มหันมาเข้ารหัสกันมากขึ้นเรื่อยๆ ทุกวันนี้เว็บที่เคยเป็นเว็บเนื้อหา เช่น วิกิพีเดีย, กูเกิล เริ่มเข้ารหัสจนกระทั่งทราฟิกที่เข้ารหัสด้วย SSL เพิ่มขึ้นอย่างรวดเร็วทั่วโลก

ผมเองเริ่มโครงการ HTTPS กับ Blognone มาแล้วระยะหนึ่งและเพิ่งบังคับทั้งหมดเมื่อต้นปีที่ผ่านมา ล่าสุดผมเข้าเว็บไทยเองและพบว่ารองรับ HTTPS เป็นอย่างดีจนน่าแปลกใจ เช่น เว็บไทยรัฐ, เว็บธนาคารทหารไทย ส่วนเว็บข้อมูลซึ่งธนาคารอื่นมักไม่เข้ารหัส

เว็บรวบรวมไฟล์บิตบอร์เรนต์รายใหญ่อย่าง KickassTorrents ประกาศบังคับผู้ใช้ทุกคนต้องเข้าเว็บผ่านการเชื่อมต่อแบบเข้ารหัส HTTPS เท่านั้น โดยระบุว่าผู้ใช้ร้องขอฟีเจอร์นี้ทางเว็บจึงทำให้

ก่อนหน้านี้เว็บรวบรวมไฟล์บิตทอร์เรนต์จำนวนมากเปิดให้บริการเข้ารหัสไปก่อนแล้ว เช่น The Pirate Bay หรือ Torrentz แต่ไม่บังคับ ผู้ใช้จะต้องเลือกเข้าผ่าน HTTPS ด้วยตัวเองเท่านั้น

แนวทางการเข้ารหัสทั้งหมดทำให้ผู้ให้บริการอินเทอร์เน็ตไม่สามารถตรวจสอบได้ว่าผู้ใช้กำลังดูหน้าใดในเว็บ แต่ก็สามารถตรวจสอบโดเมนที่กำลังเข้าดูเว็บได้ และโดยทั่วไปเราก็สามารถตรวจสอบการปล่อยข้อมูลบิตทอร์เรนต์จากไอพีต่างๆ ได้อยู่แล้ว

ข่าวใหญ่ในวงการ Search เมื่อสัปดาห์ที่แล้วคือ กูเกิลเริ่มเพิ่มอันดับค้นหาให้เว็บที่ใช้ HTTPS ทำให้การใช้งาน HTTPS เริ่มมีประโยชน์ในแง่ SEO ด้วย

อย่างไรก็ตาม ในประกาศฉบับแรกของกูเกิลกลับไม่ให้รายละเอียดมากนักว่ามองปัจจัยเรื่อง HTTPS อย่างไร ซึ่งทีมงานกูเกิลได้อธิบายประเด็นเหล่านี้ในภายหลัง

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ประกาศเตรียมเปิดให้ลูกค้าที่ใช้บริการฟรีสามารถใช้งาน HTTPS ได้ภายในเดือนตุลาคมนี้

จากเดิมที่การเปิดใช้งาน HTTPS บน CloudFlare นั้น ต้องเป็นลูกค้าแบบ Pro ที่มีราคาเดือนละ 20 เหรียญสหรัฐ ทำให้หลายๆ เว็บไซต์ที่ใช้งานแบบฟรีนั้นไม่สามารถเปิดใช้งาน SSL ได้ ซึ่งขัดต่อปณิธานของ CloudFlare ที่ต้องการให้เว็บไซต์ใช้งาน HTTPS เพื่อต่อสู้กับการดักฟังข้อมูลของรัฐ

นอกจากนี้ CloudFlare จะอนุญาตให้ลูกค้าแบบ Pro ใช้งานใบรับรองของตัวเองแทนใบรับรองของ CloudFlare ได้ภายในเดือนตุลาคมนี้เช่นกัน จากเดิมที่ต้องเป็นลูกค้าแบบ Business หรือ Enterprise เท่านั้น ทำให้สามารถใช้แบบรับรองแบบ Extended Verification ได้

กูเกิลประกาศสนับสนุนให้เว็บรองรับการใช้งานแบบเข้ารหัสด้วยการพิจารณาว่าเว็บใดรองรับ HTTPS เป็นหนึ่งในคะแนนการจัดอันดับเว็บในผลค้นหา

ช่วงแรกคะแนนจาก HTTPS จะมีผลน้อยมาก กูเกิลระบุว่าจะกระทบต่ออันดับเว็บเพียง 1% ทั้งโลกเท่านั้น แต่อาจจะพิจารณาเพิ่มน้ำหนักคะแนนต่อไปในอนาคต

พร้อมๆ กับการเพิ่มอันดับในผลค้นหา กูเกิลจะเผยแพร่ข้อมูลการทำเว็บให้ปลอดภัยด้วยการเข้ารหัส HTTPS เพิ่มขึ้นเรื่อยๆ

ที่มา - Google Online Security

เมื่อช่วงปี 2010 ในสมัยที่เฟซบุ๊กยังไม่เข้ารหัสทั้งหมดเช่นทุกวันนี้แอพพลิเคชั่นหนึ่งที่ดังขึ้นมาคือ Firesheep ที่สามารถดักฟังข้อความของผู้ใช้บน Wi-Fi ที่ไม่เข้ารหัสได้ จนกระทั่งเฟซบุ๊กยอมเข้ารหัสบริการทั้งหมดในปี 2011 ตอนนี้บริษัทลูกของเฟซบุ๊ก คือ Instagram ก็โดนนักวิจัยสร้างแอพพลิเคชั่นแบบเดียวกันแล้ว โดยเตรียมสร้างเป็นแอพพลิเคชั่นที่ชื่อว่า Instasheep

Instagram เข้ารหัสเป็น HTTPS "เฉพาะ" เมื่อกำลังดูภาพที่ส่งตรงถึงตัวเรา แต่กลับไม่เข้ารหัสเมื่อเราดูไทม์ไลน์ตามปกติ แต่การเข้าถึงภาพที่ส่งตรงกลับใช้ cookie ชุดเดียวกับการดูไทม์ไลน์ที่ไม่เข้ารหัส

ปลั๊กอิน HTTPS Everywhere ช่วยให้เบราว์เซอร์เรียกใช้งาน HTTPS หากเซิร์ฟเวอร์รองรับก่อน HTTP เสมอ ตอนนี้ทาง EFF ผู้ดูแลโครงการก็ประกาศเพิ่มปุ่ม HTTP Nowhere เพื่อเปลี่ยนโหมดการทำงานจากการเรียกหน้าเว็บ HTTPS ก่อนเสมอ มาเป็นการอนุญาตให้เข้าเว็บ HTTPS เท่านั้น

ก่อนหน้านี้มีนักพัฒนานอก EFF คือ Chris Wilper พัฒนาปลั๊กอินชื่อ HTTP Nowhere อยู่ก่อนแล้ว แต่เมื่อทาง EFF เพิ่มฟีเจอร์นี้เอง ผู้ใช้ปลั๊กอิน HTTPS Everywhere ก็จะได้รับความสามารถนี้เมื่ออัพเดตอย่างเป็นทางการครับ

ตอนนี้ปลั๊กอินยังไม่พร้อมใช้งาน เวอร์ชั่นล่าสุดยังมีปัญหากับ Tor Browser อยู่

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

บริษัท Sandvine ผู้ผลิตระบบวิเคราะห์ทราฟิกเน็ตเวิร์คออกรายงานวิเคราะห์การใช้งานอินเทอร์เน็ตทั่วโลกของครึ่งปีแรกปี 2014 เมื่อเปรียบเทียบกับช่วงเดียวกันของปีที่แล้วพบว่าการใช้งานแอพพลิเคชั่นที่เข้ารหัสเพิ่มขึ้นอย่างรวดเร็วทั่วโลก ตัวอย่างเช่นภูมิภาคละตินอเมริกาจากปีที่แล้วที่มีการใช้งาน SSL เพียง 1.8% ของอินเทอร์เน็ตทั้งหมด ปีนี้เพิ่มเป็น 10.37%

Wall Street Journal รายงานข่าวว่ากูเกิลกำลังพิจารณาเพิ่มคะแนนผลการค้นหา (ที่เราเรียกกันว่า PageRank) ให้กับเว็บไซต์ที่เข้ารหัสข้อมูลผ่าน HTTPS เพื่อสร้างแรงจูงใจให้เว็บไซต์ต่างๆ หันมาใช้ HTTPS เพื่อความปลอดภัยที่มากกว่าเดิม

WSJ อ้างว่าข้อมูลนี้มาจาก Matt Cutts พนักงานของกูเกิลที่รับผิดชอบเรื่องการลบสแปมใน Google Search ว่ากูเกิลกำลังถกเรื่องนี้เป็นการภายในว่ามีความเหมาะสมแค่ไหน และกูเกิลยังไม่น่าจะเดินหน้าเรื่องนี้ในเร็ววันนี้

ที่มา - Wall Street Journal

Joe Sullivan ประธานเจ้าหน้าที่ด้านความปลอดภัย (chief security officer) ของ Facebook ให้สัมภาษณ์เชิงลึกถึงนโยบายด้านความปลอดภัยของบริษัท

Sullivan บอกว่าเรื่องความปลอดภัยไม่สามารถทำให้สมบูรณ์ 100% ได้ แต่เป็นสิ่งที่ต้องพยายามปรับปรุงให้ดีขึ้นอยู่เสมอ (constant state of improvement) และ Facebook ก็พยายามสร้างวัฒนธรรมของการปรับปรุงด้านความปลอดภัยขึ้นมาในหมู่พนักงานขององค์กร

ข้อกำหนดขั้นต่ำของพนักงาน Facebook คือต้องเปิดใช้ Login Approval (2-step verification) เสมอ นอกจากนี้บริษัทส่วนใหญ่มักมีทีมด้านความปลอดภัยเพียงทีมเดียว แต่ Facebook มีถึง 4 ทีม (technical security, security infrastructure, site integrity, safety)

Gmail รองรับ HTTPS มาได้หลายปีแล้ว แต่หลังจากข่าว NSA ดักข้อมูลที่วิ่งระหว่างศูนย์ข้อมูลของกูเกิล ทำให้บริษัทต้องปรับนโยบายใหม่ โดยประกาศว่าจะเข้ารหัสข้อมูลที่ส่งข้ามระหว่างศูนย์ข้อมูลกันด้วย

วันนี้กูเกิลประกาศว่า Gmail จะเข้ารหัสทราฟฟิกด้วย HTTPS ทุกกรณี ไม่ว่าจะเป็นทราฟฟิกจากเครื่องของผู้ใช้มายังศูนย์ข้อมูลของกูเกิล และทราฟฟิกภายในบริษัทของกูเกิลเองทั้งหมด

นอกจากนี้กูเกิลยังเผยสถิติของ Gmail ในปี 2013 ว่ามีอัพไทม์สูงถึง 99.978% หรือเฉลี่ยแล้วมีปัญหาไม่เกิน 2 ชั่วโมงเทียบกับระยะเวลาตลอดปี

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

ตามนโยบายของ Marissa Mayer ที่ประกาศให้บริการทั้งหมดของ Yahoo! ต้องรองรับการเข้ารหัส ตอนนี้บริการที่เพิ่งซื้อมาอย่าง Tumblr ก็รองรับ HTTPS แล้ว แต่ยังรองรับเฉพาะผู้ใช้ที่ล็อกอินแล้วเท่านั้น

สำหรับผู้ใช้ทั่วไปที่อ่านอย่างเดียว ยังไม่สามารถเปิดใช้ HTTPS ได้ แม้แต่หน้าประกาศนี้เองก็ไม่รองรับ HTTPS

อย่างไรก็ดี กระบวนการเข้ารหัสของ Tumblr ค่อนข้างหนาแน่นกว่าบริการอื่นๆ ที่ถูกวิจารณ์ว่าเก่าเกินไป และไม่รักษาความลับในอนาคต โดยใช้กระบวนการ AES_128_GCM และแลกกุญแจด้วยกระบวนการ ECDHE_RSA

ผู้ใช้ Tumblr ทุกคนสามารถใช้งานได้ทันทีโดยเข้าไปตั้งค่าในหน้า Account Settings

แนวทางการเข้ารหัสทุกบริการของ Yahoo! กำลังเดินหน้าตามแผนที่ประกาศไปเมื่อปีที่แล้ว หลังจากเข้ารหัสบริการอีเมลตลอดเวลาเมื่อต้นเดือนที่ผ่านมา ตอนนี้เว็บหลักคือ www.yahoo.com ก็เชื่อมต่อด้วย HTTPS ตลอดเวลาแล้ว

แนวทางนี้จะมีผลกระทบสำคัญต่อเว็บทั่วไปคือการเข้าเว็บผ่านการค้นหาจาก Yahoo! จะไม่มีค่า referrer ให้ตรวจสอบว่าผู้ใช้เข้าเว็บจากคีย์เวิร์ดอะไรเช่นเดียวกับผลกระทบจากกูเกิลก่อนหน้านี้

ที่มา - Marketing Land

Twitter ออกมาแจ้งนักพัฒนาที่ดึงข้อมูลจาก Twitter API ทุกคนว่า บริษัทจะเลิกอนุญาตให้เชื่อมต่อเพื่อดึงข้อมูลแบบ HTTP plaintext และเปลี่ยนไปใช้การเชื่อมต่อแบบ HTTPS (TLS/SSL) เพียงอย่างเดียว โดยจะมีผลตั้งแต่วันที่ 14 มกราคม 2014 เป็นต้นไป

การบังคับใช้ SSL จะมีผลกับ URL ที่มาจากโดเมน api.twitter.com ทุกกรณี ครอบคลุมถึงการล็อกอินด้วย OAuth และการเรียก REST API ทุกตัวด้วย

เท่าที่ทราบมาแถวนี้มีคนเขียนเชื่อมข้อมูลกับ Twitter กันพอสมควร ใครยังไม่ทราบก็รีบแก้โค้ดกันด่วน

ที่มา - Twitter Dev

เมื่อปีที่แล้ว กูเกิลเริ่มเข้ารหัสผลการค้นหาด้วย HTTPS ในทุกกรณี ส่งผลให้เว็บมาสเตอร์ดูข้อมูลคีย์เวิร์ดลำบากขึ้น ล่าสุดฝั่งของ Bing ก็เริ่มทำแบบเดียวกันแล้วครับ

ในเบื้องต้น Bing เพิ่งเปิด https://bing.com ให้เริ่มใช้งานและผู้สนใจต้องเข้าผ่าน URL โดยตรงเท่านั้น (ยังไม่มีตัวเลือกใดๆ ในหน้า Options ของเว็บ) ตัวแทนของไมโครซอฟท์ระบุว่าตอนนี้ Bing ยังอยู่ในช่วงทดสอบระบบ HTTPS เท่านั้น และพยายามหาวิธีช่วยเหลือให้ชุมชนคนทำเว็บหรือทำ SEO ไม่ลำบากเรื่องการหาข้อมูลคีย์เวิร์ดจนเกินไป

กรณีของกูเกิลนั้นไม่ปล่อยข้อมูลคีย์เวิร์ดให้เว็บมาสเตอร์ แต่เปิดข้อมูลคีย์เวิร์ดให้ผู้ลงโฆษณา AdWords ซึ่งคาดว่า Bing น่าจะเดินตามแนวทางเดียวกัน

Yahoo! Mail เพิ่งเปิดบริการ HTTPS ตลอดเวลามาไม่นาน Ivan Ristic จาก Qualys รายงานถึงกระบวนการเข้ารหัสของ Yahoo! ว่ายังไม่น่าพอใจนักเพราะยังใช้ RC4 และกระบวนการแลกกุญแจที่ไม่รักษาความลับในอนาคต (forward secrecy)

Qualys พบว่า Yahoo! แบ่งการเข้ารหัสตามฟังก์ชั่นการทำงาน โดยเซิร์ฟเวอร์ในกลุ่ม login.yahoo.com ที่ใช้รับส่งรหัสผ่านจะใช้การเข้ารหัสแบบ AES ที่ปลอดภัยกว่า แต่ก็ไม่มีการป้องกันการโจมตีแบบใหม่ๆ เช่น BEAST หรือ CRIME อยู่ดี