Chrome 81 wird Support von TLS 1.0 und 1.1 beenden – Dieser Schritt ist aus Sicherheitssicht überfällig

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Die neue Version des Google Browers Chrome 81 wird aufgrund der aktuellen Pandemie-Krise zwar verschoben, die Details sind jedoch bereits bekannt geworden. Wie das Magazin Portswigger berichtet, wird sie den Zugang zu jeder Website einschränken, die auf den veralteten Verschlüsselungsprotokollen TLS 1.0 und 1.1 beruhen. Anwender, die diese Websites mit Chrome 81 besuchen, werden dann mit ganzseitigen Warnungen konfrontiert. Der Web-Sicherheitsspezialist Netcraft informierte bereits Anfang dieses Monats darüber, dass mehr als 850.000 Websites immer noch auf die veralteten Protokolle TLS 1.0 und TLS 1.1 angewiesen sind, obwohl die vier größten Browser-Entwickler mehr als ein Jahr vorher darüber informiert wurden.

Die beiden Versionen sind durch Angriffe verwundbar, die Poodle (Padding Oracle On Downgraded Legacy Encryption) ausnutzen, TLS 1.0 ist sogar durch BEAST (Browser Exploit Against SSL/TLS) angreifbar. Poodle war nach Heartbleed eine der bekannteren Schwachstellen. Jahre nach dem Bekanntwerden der OpenSSL-Schwachstelle waren verwundbare Systeme im Netz gefunden worden. Ein Angreifer könnte bei der Heartbleed-Schwachstelle Schlüssel, Passwörter und andere Daten von Webservern klauen.

„Die Entscheidung von Chrome, diese veralteten Protokolle zu entfernen, ist ein wichtiger Impuls für die Sicherheit seiner Nutzer“, erklärt Kevin Bocek, VP Security Strategy und Threat Intelligence bei Venafi. „Doch für die Hunderttausenden von Websites, die immer noch diese Maschinenidentitäten verwenden, wird Chrome sie zwingen, TLS 1.0 und 1.1 schnell zu ersetzen oder sich der Aussicht auszusetzen, Besucher ihrer Websites mit unsicheren Warnungen zu begrüßen, was sowohl ihrem Geschäft als auch ihrer Glaubwürdigkeit schaden kann.“