Bên cạnh đó bản cập nhật Google Chrome này sẽ loại bỏ hoàn toàn hỗ trợ cho HPKP.
Google Chrome 72 đã được phát hành vào ngày hôm qua, chỉ vài giờ sau khi phát hành Firefox 65. Và trong khi Google đã bị chiếm dụng trước với các thay đổi UI / UX so với một số bản phát hành trước đó, bản cập nhật này tập trung nhiều vào các bản cập nhật bảo mật, chỉnh sửa API và hỗ trợ cho giao thức khác nhau .
Rõ ràng, chúng tôi chủ yếu quan tâm đến những thứ liên quan đến SSL / TLS, điều này rất tốt vì có một số thay đổi lớn trong cửa hàng cho người dùng Windows, Mac, Linux và Android.
Vì vậy, hôm nay chúng ta sẽ thảo luận về những thay đổi đó và cách bạn có thể tăng cường bảo mật cá nhân của riêng mình kết hợp với một trong những cập nhật đó.
Tạm biệt HPKP
Ghim khóa công khai dựa trên HTTP – HTTP-based Public Key Pinning (HPKP) là cách ghim một hoặc nhiều khóa công khai của trang web trong tiêu đề HTTP. Về lý thuyết, đó là một ý tưởng tuyệt vời vì nó giúp bảo vệ chống lại việc ban hành chứng chỉ sai, nhưng trong thực tế, nó có thể cực kỳ nguy hiểm. Ok, đó có thể là một chút cường điệu, nhưng HPKP đang cố gắng sử dụng một cách chính xác bởi vì rất khó để xây dựng một bộ khóa được bảo đảm để hoạt động dựa trên tính chất không ngừng phát triển của ngành chứng chỉ số và sự sai lệch trong lòng tin của người dùng cửa hàng.
Do đó, HPKP có thể khiến các trang web bị hỏng. Nó gây ra rất nhiều lỗi. Và nó thực sự có thể sử dụng làm lổ hổng, mặc dù chưa bao giờ có trường hợp nào được xác nhận về việc này xảy ra.
Google đã thông báo rằng họ đã lên kế hoạch từ chối HPKP, hiện tại hỗ trợ đã bị xóa hoàn toàn trong Chrome 72.
PKP cung cấp một cách để bảo vệ chống lại sự sai lệch chứng chỉ, bằng cách cung cấp cơ chế tiếp xúc với Web (HPKP) cho các trang web để hạn chế tập hợp các cơ quan cấp chứng chỉ (CA) có thể cấp cho miền của họ. Tuy nhiên, điều này phơi bày như là một phần của các cân nhắc về Nền tảng web mở bên ngoài nó: cụ thể, việc lựa chọn và lựa chọn CA là một quyết định bảo mật cấp sản phẩm được đưa ra bởi các trình duyệt hoặc bởi các nhà cung cấp hệ điều hành, và lựa chọn và sử dụng các CA phụ , ký chéo và các khía cạnh khác của hệ thống phân cấp PKI được thực hiện độc lập bởi các CA. Do đó, các nhà điều hành trang web phải đối mặt với những khó khăn trong việc lựa chọn một bộ khóa đáng tin cậy để ghim và việc áp dụng PKP vẫn còn thấp. Khi kỳ vọng của nhà điều hành trang web không phù hợp với thực tế của các mỏ neo tin cậy trên các máy khách thế giới thực, người dùng sẽ phải chịu đựng.
Chris Palmer, Kỹ sư bảo mật, Google
Chúng tôi đã viết về việc HPKP là một khái niệm thất bại trước đây và điều đó được hỗ trợ bởi thực tế là cả Apple và Microsoft đều không hỗ trợ nó nữa. Bây giờ Google đã loại bỏ hoàn toàn hỗ trợ trong Chrome 72.
RIP HPKP.
Không hỗ trợ cho TLS 1.0 và TLS 1.1
Vào cuối năm ngoái, trong một thông báo chung chưa từng có , các nhà sản xuất trình duyệt lớn – Google, Apple, Microsoft & Mozilla – đã công bố quyết định từ chối hỗ trợ cho TLS 1.0 và TLS 1.1 vào đầu năm 2020.
Với việc phát hành Chrome 72, Google đang đặt nền tảng cho sự phản đối cuối cùng đó. Hiện tại, việc đi đến các trang web vẫn chỉ hỗ trợ TLS 1.0 hoặc TLS 1.1 sẽ chỉ hiển thị cảnh báo trong Công cụ Dev. Bắt đầu với việc phát hành Chrome 81, người dùng sẽ không thể kết nối với các trang web chưa được nâng cấp lên TLS 1.2.
Điều này không có gì đáng ngạc nhiên, TLS 1.0 và TLS 1.1 đang bị phản đối rộng rãi do các lỗ hổng đã biết. Năm ngoái, PCI DSS đã ra lệnh rằng bất kỳ trang web nào chấp nhận thẻ thanh toán cần thiết để loại bỏ TLS 1.0 với một khuyến nghị mạnh mẽ để loại bỏ TLS 1.1, quá.
Thật không may, mặc dù thực tế TLS 1.2 đã ra mắt được khoảng mười năm và giờ chúng tôi đã chuyển sang TLS 1.3, quá nhiều trang web vẫn chỉ hỗ trợ các phiên bản đã lỗi thời của giao thức SSL và TLS .
Đây là bảng phân tích 100.000 điểm hàng đầu của Alexa bởi giao thức cao nhất được hỗ trợ:
Điều kỳ lạ là, có nhiều hơn 40 lần nhiều trang web có mức hỗ trợ cao nhất là TLS 1.0 so với TLS 1.1. Tuy nhiên, nhìn chung, khoảng 2,3% trong số 100.000 hàng đầu của Alexa sẽ không thể truy cập được nếu chúng không được Chrome 81 nâng cấp.
Nếu bạn đang chạy một trang web, bây giờ cũng là thời điểm tốt để tắt hỗ trợ máy chủ cho các phiên bản giao thức cũ này. Thật tuyệt khi bạn hỗ trợ các phiên bản mới hơn, an toàn hơn của giao thức nhưng việc tiếp tục hỗ trợ các phiên bản đã lỗi thời sẽ mở ra cho bạn các cuộc tấn công hạ cấp.
Vô hiệu hóa hỗ trợ cho TLS 1.0 và TLS 1.1 trong Google Chrome
Đối với người dùng Chrome thông thường, bây giờ cũng là thời điểm tốt để bạn bỏ hỗ trợ cho TLS 1.0 và TLS 1.1 ở phía trình duyệt. Một trong những cách tốt nhất để buộc các stragglers nâng cấp hỗ trợ của họ là dừng truy cập các trang web không hỗ trợ TLS 1.2 trở lên.
Đây là cách bỏ hỗ trợ cho TLS 1.0 và TLS 1.1 trong Chrome.
- Nhấp vào dấu chấm lửng dọc (ba dấu chấm) ở góc trên bên phải của trình duyệt và chọn cài đặt.
- Cuộn xuống và nhấp vào Nâng cao.
- Cuộn xuống phần Hệ thống trên mạng và nhấp vào Cài đặt proxy Mở.
- Nhấp vào tab nâng cao và cuộn xuống để bảo mật, bỏ chọn TLS 1.0 và TLS 1.1 (bạn cũng nên tắt SSL 3.0 và SSL 2.0).
Điều này có thể khiến một số trang web bạn truy cập thường xuyên không thể truy cập được. Bạn luôn có thể nhấp qua các cảnh báo khi điều đó xảy ra, hãy nhớ rằng TLS 1.2 đã ra mắt được một thập kỷ, điều này sẽ cho bạn biết trang web bạn đang cố gắng truy cập ưu tiên bảo mật đến mức nào.
Ở bất cứ giá nào, hy vọng sẽ thấy nhiều bản cập nhật như thế này cho các trình duyệt khác trong những tháng tới.