Siła certyfikatu zależy od długości klucza używanego do szyfrowania danych. Klucze, których długość jest mniejsza niż 1024 bity, są uważane za słabe. Google używa kluczy o długości 1024 bitów, ale zamierza zastąpić je kluczami mającymi długość 2048 bitów.

"Operacja przechodzenia na klucze mające długość 2048 bitów rozpocznie się 1-go sierpnia, tak abyśmy zdążyli przejść całkowicie na tę technologię przez końcem br.", mówi Stephen McHenry, zarządzający w firmie Google bezpieczeństwem. I dodaje, "Zamierzamy też zmienić certyfikat bazowy (root), który podpisuje wszystkie nasze certyfikaty i wykorzystuje obecnie klucze o długości 1024 bitów".

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE

McHenry twierdzi, że większość oprogramowania klienckiego nie będzie mieć kłopotów z nowymi certyfikatami, ostrzegając jednocześnie, że niektóre takie programy (kontrolujące pracę np. telefonów, drukarek, urządzeń set-top box, konsol gier czy kamer) mogą mieć z tym problemy. Urządzenia nawiązujące łączność z usługami Google z wykorzystaniem technologii SSL powinny wspierać podstawowy mechanizm walidacji oraz obsługiwać obszerny zestaw certyfikatów i rozszerzenie SANs (Subject Alternative Names), dzięki któremu jeden certyfikat SSL może uwierzytelniać wiele hostów.

Sięgając po tak długie klucze Google wzmacnia bezpieczeństwo użytkowników, jednak SSL ma jeden słaby punkt. Setki organizacji działających na całym świecie może wydawać certyfikaty SSL, które są powiązane z tzw. Certificate Authority - organizacjami pełniącymi rolę pośredników , które są intensywnie atakowane przez hakerów. Może się zdarzyć, że organizacja taka wyda fałszywy certyfikat. A wtedy użytkownik może być niemile zaskoczony tym, że odwiedzana przez niego witryna zawiera np. szkodliwe oprogramowanie, chociaż certyfikat mówi, że powinna być bezpieczna.

Google stał się ofiarą takiego ataku w 2011 roku, po tym gdy do organizacji DigiNota (Certificate Authority) włamali się hakerzy. Wygenerowali oni wtedy ok. 500 fałszywych certyfikatów SSL, w tym certyfikat, który został użyty do zaatakowania w Iranie użytkowników poczty Gmail (były to ataki typu "man-in-the-middle").

Warto na koniec dodać, że w 2009 r. informatyk Moxie Marlinspike opracował ciekawe narzędzie (nadając mu nazwę SSLstrip), które pozwala włamywaczowi śledzić ruch w sieci, przechwytywać połączenia SSL i podpatrywać przesyłane przez nie, zaszyfrowane dane. Istnieje już jednak łata, która skutecznie zapobiega tego typu atakom.