Tök mindegy, hogy ki a hosting. A NetCraft múlt havi cikkéből kiderül, hogy a Duck Duck Go egészen napjainkig nem használt PFS-t. Ez azt jelenti, hogy ha az eddigi összes hálózati forgalmát rögzítették titkosítva, akkor elég a privát kulcsot kiverni belőlük (amerikai cég lévén biztosan nehéz lesz) és az egész korábbi forgalom dekódolása kész.
(Valószínűleg a cikk hatására) a Duck Duck elkezdett PFS-t használni. De ez nem menti meg azokat, akik évek óta használták a keresőt, mert az ő kereséseikhez a fent említett módszerrel hozzá lehet férni.
SSL: Intercepted today, decrypted tomorrow
Ráadásul több rámutattak arra, hogy a Duck Duck jó célpont lenne az NSA-nak, mert éppen olyanok kezdtek rákapni, akik azért menekültek el a többi keresőtől, hogy az NSA ne lássa őket. Nem is kell az NSA-nak szűrni, mert a Duck Duck-nál már eleve számára jól leszűrt közönség található.
Ráadásul a a Duck Duck az ssllabs.com szerint RC4-et használ, ami - szintén az ssllabs szerint - problematikus.
--
trey @ gépház