行业新闻与博客

此更新还完全删除了对 HPKP 的支持。 

谷歌 Chrome 72 昨天发布，就在 Firefox 65 发布几小时后发布。虽然谷歌已经预先考虑了其前几个版本的 UI / UX 变化，但此更新更侧重于安全更新，对 API 的调整以及对各种协议。

 显然，我们最感兴趣的是与 SSL / TLS 相关的东西，这很好，因为 Windows，Mac，Linux 和 Android 用户存储了几个重大变化。

 因此，今天我们将讨论这些变化以及如何结合其中一个更新来强化您自己的个人安全性。

 再见 HPKP

 基于 HTTP 的公钥锁定（HPKP）是一种在 HTTP 标头中固定网站的一个或多个公钥的做法。这在理论上是一个好主意，因为它有助于防止错误发布，但在实践中它可能非常危险。好吧，这可能有点夸张，但是 HPKP 很难正确使用，因为很难建立一套固定密钥，由于数字证书行业不断变化的性质和用户信任的差异而保证工作密钥的运行商店。

 因此，HPKP 可能会导致网站中断。它会导致很多错误。它实际上可以被武器化，尽管从未有过这种情况的确认案例。

 谷歌已经宣布计划弃用 HPKP，现在已经完全取消了 Chrome 72 中的支持。

 PKP 通过为站点提供 Web 暴露机制（HPKP）来限制可为其域发布的证书颁发机构（CA）集，从而提供防御证书错误的方法。但是，这作为外部开放 Web 平台注意事项的一部分公开：具体而言，CA 的选择和选择是由浏览器或 OS 供应商做出的产品级安全决策，以及子 CA 的选择和使用 PKI 层次结构的交叉签名和其他方面由 CA 独立完成。因此，现场操作员在选择一组可靠的钥匙时遇到困难，并且 PKP 的采用率仍然很低。当网站运营商的期望与现实世界客户端机器上的信任锚的现实不匹配时，用户会受到影响。 

谷歌安全工程师 Chris Palmer 

我们之前已经写过关于 HPKP 是一个失败概念的文章，并且苹果和微软都不再支持这个概念。现在 Google 已完全取消了 Chrome 72 中的支持。

 RIP HPKP。

 弃用对 TLS 1.0 和 TLS 1.1 的支持

 去年年底，在一个前所未有的联合声明中，主要的浏览器制造商 - 谷歌，苹果，微软和 Mozilla--宣布他们决定在 2020年初弃用对 TLS 1.0 和 TLS 1.1 的支持。 

随着 Chrome 72 的发布，Google 正在为最终弃用奠定基础。目前，前往仍然只支持 TLS 1.0 或 TLS 1.1 的网站只会在开发工具中显示警告。从 Chrome 81 发布开始，用户将无法与尚未升级到 TLS 1.2 的网站建立连接。 

这并不奇怪，TLS 1.0 和 TLS 1.1 因已知漏洞而被广泛弃用。去年PCI DSS 规定，任何接受支付卡的网站都需要弃用 TLS 1.0，同时强烈建议删除 TLS 1.1。

 不幸的是，尽管 TLS 1.2 已经出现了大约十年并且我们现在已经转向 TLS 1.3，但是太多的网站仍然只支持过时的 SSL 和 TLS 协议版本。

 以下是支持的最高协议 Alexa 排名前 100,000 的细分：

奇怪的是，有超过 40 倍的站点，其最高支持级别是 TLS 1.0 而不是 TLS 1.1。总体而言，如果他们没有通过 Chrome 81 升级，那么 Alexa 排名前 10 万的大约 2.3％ 将无法实现。

 如果您正在运行一个网站，现在也是关闭这些旧协议版本的服务器支持的好时机。很高兴您支持更新，更安全的协议版本，但继续支持过时版本可以让您降级攻击。

 在 Google Chrome 中禁用对 TLS 1.0 和 TLS 1.1 的支持

 对于普通的 Chrome 用户，现在也是您在浏览器端放弃对 TLS 1.0 和 TLS 1.1 的支持的好时机。强制落后者升级其支持的最佳方法之一是停止访问不支持 TLS 1.2 或更高版本的站点。

 更新：为 Microsoft 用户调整这些设置的正确方法是在 Windows 的本机 TLS 堆栈中，而不是 Chrome。Chrome 只从那里获取代理设置（不是 David Benjamin）。 

因此，要执行此操作，请打开控制面板并选择“Internet 选项”。导航到“高级”选项卡，然后向下滚动到安全设置并取消停靠 TLS 1.0 和 TLS 1.1

    以下是如何通过 Chrome 放弃对 TLS 1.0 和 TLS 1.1 的支持。

   单击浏览器右上角的垂直省略号（三个点）并选择设置。

•   向下滚动并单击“高级”。
  
• 向下滚动到“系统”部分，然后单击“打开代理设置”。
  
  
•  单击高级选项卡并向下滚动到安全性，取消选择 TLS 1.0 和 TLS 1.1（您也应该禁用 SSL 3.0 和 SSL 2.0）。请注意，这实际上是您要更改的 Windows Internet Properties 菜单。
  
  
• 单击确定。 我承认，这样做可能会使您访问的某些网站无法访问。当发生这种情况时，您可以随时点击警告，请记住，TLS 1.2 已经出现了十年，这可以让您了解您尝试访问的网站对安全性的优先级。 

 无论如何，预计在未来几个月内会向其他浏览器看到更多这样的更新。