Google Chrome 72 丟棄HPKP，不再支持TLS1.0和TLS1.1!

Mozilla發(fā)布Firefox 65 幾個小時后，谷歌也發(fā)布了最新的Chrome 72，并為Windows、Mac、Linux和Android用戶提供了更新的版本。

注：谷歌Chrome增加了下載驅(qū)動保護功能。

雖然在過去的3-4個版本中，谷歌在Chrome UI和UX(用戶界面和用戶交互)方面的變化已經(jīng)給用戶帶來了很大的影響，但是如今的版本變化對瀏覽器的底層Web APIs和協(xié)議的影響更大。

在所有的變化中，Chrome 72有三個重要的更新是用戶需要知道的。其中最重要的是完全刪除對基于HTTP的公鑰固定(HPKP)標(biāo)準(zhǔn)(RCF 7469)的支持。

谷歌早在2017年10月就宣布了關(guān)于HPKP的長期計劃，并在2018年3月發(fā)布的Chrome 65中首次丟棄了HPKP。

由于已被丟棄，Chrome會在網(wǎng)站所有者的開發(fā)控制臺上顯示錯誤?，F(xiàn)在它被棄用了，所以Chrome不再支持網(wǎng)站使用HPKP，拒絕固定公鑰。幸運的是，這不會影響到太多的網(wǎng)站，因為HPKP實現(xiàn)起來很麻煩，只有很少的網(wǎng)站曾經(jīng)使用過它。

目前支持HPKP的網(wǎng)站所有者可能應(yīng)該停止了，作為世界上最受歡迎的瀏覽器，Chrome將不再支持公鑰固定。

Chrome 72版本的第二個主要變化是不會呈現(xiàn)任何通過FTP協(xié)議加載的資源。

Chrome將繼續(xù)顯示FTP目錄列表，但當(dāng)網(wǎng)站加載一個托管在FTP鏈接上的圖像或JavaScript文件時，替代呈現(xiàn)圖像或運行文件，Chrome會提示用戶下載它。

Chrome 72的第三個主要變化是不再支持過時的TLS 1.0和TLS 1.1標(biāo)準(zhǔn)。這一舉動只是Chrome 81采取的取消支持這兩個標(biāo)準(zhǔn)的第一步。Chrome 81計劃在2020年初發(fā)布。

谷歌曾在去年與Apple、Microsoft和Mozilla一起宣布過這些計劃。Apple、Microsoft和Mozilla表示，他們將在各自的瀏覽器上執(zhí)行這些計劃。

Chrome 72不再支持TLS 1.0和TLS 1.1，這意味著當(dāng)用戶訪問遺留有TLS 1.0或1.1證書的HTTPS站點時，Chrome會在開發(fā)人員控制臺顯示錯誤，但不會阻止用戶訪問站點。從Chrome 81開始，將會阻止用戶訪問。

【來自SSL中國】

Chrome現(xiàn)在的新版本號是72.0.3626.81。Windows、Mac、Linux和Android用戶使用Chrome的內(nèi)置更新器能夠安裝更新。完整的Chrome 71修改日志在此查看。

在Chrome 72中，谷歌修復(fù)了58個安全漏洞。來自 Chromium和 Google Developers 團隊的兩篇博文詳細介紹了Chrome 72以開發(fā)人員為中心的特性。