Il mio ISP può leggere la mia email di Gmail o di altro tipo anche se si utilizza HTTPS?
Credo che possano farlo perché sono "man-in-the-middle".
C'è un modo per impedirlo?
Questo è legato alla notizia che nel mio paese (Uruguay) il governo ha ordinato agli ISP di aggiungere un software in grado di leggere tutte le e-mail. ( link )
No, possono vedere solo il traffico crittografato che scorre da te ai server di Google. Non possono vedere il contenuto effettivo del traffico (le tue e-mail).
Tuttavia, se il tuo ISP ti costringe attraverso un proxy web e ti fa usare il loro certificato, allora potrebbero vedere il contenuto del tuo traffico. Sarei cauto se vedi certs non fidati quando vai su gmail.com. Potresti considerare di utilizzare anche una VPN per impedire al tuo ISP di provare a fare cose del genere.
Sì , il tuo ISP e il governo possono leggere le tue e-mail, anche quando utilizzano la crittografia a causa di una serie di vulnerabilità e il fatto che la maggior parte delle e-mail non sono crittografate sui server del provider di posta elettronica.
Il tuo ISP può utilizzare una serie di tattiche per leggere e-mail crittografate: in primo luogo l'e-mail non usa HTTPS, invece utilizza il protocollo SMTP che può usare StartTLS per la crittografia, dico io, perché molte volte StartTLS non viene utilizzato. Ciò è dovuto al fatto che STARTTLS è opportunistico, pertanto crittografa quando tu, il tuo provider di posta elettronica e il destinatario soddisfano determinati criteri. Questo rende abbastanza facile per le comunicazioni diventare insicuri forzando determinate condizioni che disabilitano StartTLS.
Questo è il motivo per cui molte e-mail non sono criptate in transito. Anche se alcuni provider di e-mail sono bravi in questo, come Google, quindi le comunicazioni da Gmail a Gmail sono crittografate in transito per impostazione predefinita, molte altre no.
Ma ai fini della discussione, diciamo che tutte le tue e-mail sono criptate e che il tuo ISP non sta facendo nulla che le stia facendo viaggiare in chiaro, anche se le tue e-mail possono essere lette se il governo vuole leggerle perché quasi tutte le email non sono crittografate end-to-end. Ciò significa che anche se sono in viaggio crittografati, non vengono crittografati sui server del provider di posta elettronica.
Quindi se il tuo governo vuole davvero sapere quali email stai inviando, con un mandato di perquisizione, possono sapere. Il mantra della sicurezza / privacy community è che le email sono costantemente insicuri, anche quando si utilizza la crittografia.
Con una buona dose di lavoro potresti rendere le tue email sicure, ma ciò richiede che il destinatario della tua email collabori, un lusso che potresti non avere. Raccomando di evitare la posta elettronica se sei preoccupato per la tua privacy, e se l'e-mail è una necessità assoluta, ti consiglio di leggere STARTTLS, PGP e questo post su stackexchange se sei interessato.
Alternative email:
(Mi dispiace, posso solo postare due link qui)
Sì, possono replicare un certificato e il tuo browser non ti avviserà a riguardo:
Risposta da un'altra domanda:
Sì, è possibile.
Con un altro certificato foglia TLS valido, il flag CA può essere ignorato e quel certificato utilizzato per firmare un certificato per qualsiasi sito:
Chrome e Firefox sono certamente vulnerabili a questo sui sistemi senza patch (che è probabile che molti sistemi oggi).