Chrome 72 entfernt HPKP und erklärt TLS 1.0 und 1.1 für veraltet

Neben Mozilla hat auch Google gestern seinen Browser aktualisiert. Chrome 72 bringt vor allem Neuerungen in den Bereichen Web-APIs und Protokolle. Unter anderem haben die Entwickler den Support für das HTTP-basierte Public Key Pinning (HPKP) entfernt. Google schließt aber auch 58 zum Teil schwerwiegende Sicherheitslöcher.

HPKP dient eigentlich der Absicherung des HTTPS-Protokolls gegen Man-in-the-Middle-Angriffe. Der unter anderem von Google entwickelte Standard stellte sich im Lauf der Zeit jedoch als anfällig für Angriffe heraus, weswegen Google bereits im Oktober 2017 ankündigte, das Verfahren künftig nicht mehr zu unterstützen. Als Nachfolger gilt das auch als sicherer eingestufte Certificate Transparency.

Die Änderung dürfte indes nur wenige Websites betreffen. Da HPKP nur mit viel Aufwand zu implementieren war, geht man davon aus, dass die Technik nur von sehr wenigen Seiten eingesetzt wurde und wird.

Darüber hinaus stuft Chrome nun die Standards Transport Layer Security 1.0 und 1.1 als veraltet ein. Der Browser zeigt Websites, die für die HTTP-Verschlüsselung (HTTPS) weiterhin TLS 1.0 oder 1.1, zwar weiterhin an, meldet aber zudem einen Fehler in der Developer-Konsole. Die Unterstützung für TLS 1.0 und 1.1 soll erst mit Chrome 81 wegfallen. Diese Version des Browsers wird Anfang 2020 erwartet.

TLS 1.0 und 1.1 wurden 1999 beziehungsweise 2006 eingeführt. TLS 1.0 gilt zudem als unsicher und entspricht bereits seit Juni 2018 nicht mehr dem Payment Card Industry Data Security Standard. Mit TLS 1.2 und 1.3 werden zudem inzwischen zwei Nachfolger unterstützt. Neben Google wollen auch Apple, Microsoft und Mozilla bis Anfang 2020 den Support für TLS 1.0 und 1.1 einstellen.

Chrome 72 verweigert zudem das Rendering jeglicher Ressourcen einer Website, die über das FTP-Protokoll bereitgestellt werden. Stattdessen fordert der Browser seine Nutzer auf, die besagten Ressourcen herunterzuladen. FTP-Verzeichnisse zeigt Chrome 72 jedoch wie gewohnt an.

Von den insgesamt 58 Schwachstellen in den älteren Chrome-Version beschreibt Google in den Versionshinweisen 33 Anfälligkeiten. Darunter ist auch ein als kritisch eingestufter Fehler, der das Einschleusen von Schadcode erlaubt, der außerhalb der Sandbox ausgeführt werden kann. Der Nutzer Klzgrad, der den Bug im Dezember an Google gemeldet hat, erhält eine Prämie von 7500 Dollar.

Von weiteren 16 Sicherheitslöchern geht ein hohes Risiko aus. Sie stecken unter anderem in der JavaScript-Engine V8, dem PDF-Rendere PDFium, der Browser-Engine Blink sowie Protokollen wie WebRTC und HTML und der Graphics Engine Skia.

Den Entdeckern der Schwachstellen zahlt Google insgesamt eine Belohnung von 50.500 Dollar. Die Höhe der einzelnen Prämien richtet sich nach der Schwere der gefundene Anfälligkeiten.

Chrome 72 wird ab sofort über die Update-Funktion des Browsers verteilt. Zum Abschluss der Installation muss der Browser unter Umständen neu gestartet werden. Die neue Version steht wie immer für Windows, macOS und Linux zur Verfügung.