De volgende versie van Google Chrome zal geen ftp-content meer in de browser weergeven, ook zal de ondersteuning van public key pinning worden verwijderd. Dat heeft Google bekendgemaakt. Volgens de techgigant is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol.

“Wanneer zelfs de Linux-kernel er afscheid van neemt is het tijd om verder te gaan”, laat Google weten. Het stopzetten van de ftp-ondersteuning vindt gefaseerd plaats. Met Chrome 72 zal de browser geen content van ftp-servers meer in de browser weergeven. In plaats daarvan worden afbeeldingen, filmpjes en andere content gedownload. Chrome zal nog wel de inhoud van een ftp-directory weergeven, maar alle non-directory listings downloaden in plaats van in de browser weer te geven. Eerder besloot Mozilla al om in Firefox geen ftp-content meer te laden.

Met Chrome 72 zal Google ook de ondersteuning van public key pinning stopzetten. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt.

Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van “hostile pinning”. Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen.

Verder zal Chrome 72 geen pop-ups toestaan tijdens het unloaden van pagina’s, ongeacht of de pop-upblocker staat ingeschakeld. Daarnaast heeft Google het einde van de ondersteuning van TLS 1.0 en 1.1 aangekondigd. Deze protocollen worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Zowel TLS 1.0 als 1.1 hebben verschillende zwakheden. Google wil daarom alleen nog TLS 1.2 en nieuwer gaan ondersteunen. Met de lancering van Chrome 81 begin 2020 zal de ondersteuning van TLS 1.0 en 1.1 waarschijnlijk worden stopgezet. Chrome 72 staat gepland voor de week van 29 januari 2019.