O Google está cortando sua confiança na Entrust após o que descreve como um período prolongado de falhas em termos de conformidade e melhorias gerais.
Entrust é uma das muitas autoridades certificadoras (CA) usadas pelo Chrome para verificar se os sites visitados pelos usuários finais são confiáveis. A partir de 1º de novembro no Chrome 127, que entrou recentemente na versão beta, os certificados de autenticação de servidor TLS validados para raízes Entrust ou AffirmTrust não serão confiáveis ??por padrão.
O Google apontou uma série de relatórios de incidentes nos últimos anos relacionados à Entrust, dizendo que eles “destacaram um padrão de comportamento preocupante” que acabou fazendo com que a empresa de segurança caísse nas estimativas do Google.
Os incidentes “destruíram a confiança na competência, confiabilidade e integridade [da Entrust] como proprietária de CA de confiança pública”, afirmou o Google em um blog.
Segue-se uma publicação de maio da Mozilla, que compilou uma extensa lista de emissões de certificados da Entrust entre março e maio deste ano. Em resposta, e após uma resposta inicial que foi recebida com feedback severo da comunidade Mozilla, a Entrust reconheceu suas falhas processuais, observou a Mozilla, e disse que estava tratando o feedback como uma oportunidade de aprendizado.
Agora parece que o Google não aceitou tão bem a resposta de desculpas da Entrust.
De acordo com o limite de novembro, o Google está oferecendo um longo período de carência que, segundo ele, minimizará qualquer interrupção potencial. Os certificados emitidos antes de 31 de outubro permanecerão confiáveis, desde que sejam validados nas raízes especificadas no blog do Google.
Os usuários do Google podem confiar manualmente nessas raízes após a mudança para manter sua funcionalidade atual. As empresas poderão substituir as restrições descritas aqui a partir do Chrome 127, caso queiram usar os certificados da Entrust também em sua rede interna.
“As autoridades de certificação desempenham um papel privilegiado e confiável na internet, que sustenta conexões criptografadas entre navegadores e sites”, disse o Google. “Com essa tremenda responsabilidade, vem a expectativa de aderir a expectativas de segurança e conformidade razoáveis ??e orientadas por consenso, incluindo aquelas definidas pelos Requisitos de Base CA/Browser TLS.
“Nos últimos seis anos, observamos um padrão de falhas de conformidade, compromissos de melhoria não cumpridos e a ausência de progresso tangível e mensurável em resposta a relatórios de incidentes divulgados publicamente. Quando esses fatores são considerados de forma agregada e comparados ao risco inerente a cada um A CA de confiança pública representa para o ecossistema da Internet, é nossa opinião que a confiança contínua do Chrome na Entrust não se justifica mais.”
As mudanças serão aplicadas aos usuários do Chrome em todos os principais sistemas operacionais, exceto o Chrome no iOS , que não permite que a verificação de certificado do próprio Chrome funcione em iPhones e iPads. O MacOS não é afetado por isso, no entanto, e bloqueará os certificados Entrust a partir de novembro, como todo o resto.
Para proprietários de sites, isso significa que eles precisarão escolher um novo proprietário de CA antes do prazo de novembro — mas, de preferência, o mais rápido possível — para garantir que os visitantes não sejam recebidos com a página de aviso do Chrome designando a conexão com o site como insegura.
Tim Callan, diretor de experiência da Sectigo, disse em um e-mail ao The Reg que a notícia serve como um lembrete aos CAs de que eles devem seguir os padrões que a indústria espera deles.
“As CAs precisam seguir os mais altos padrões, não apenas para o bem de seus negócios, mas para todas as pessoas e empresas que dependem delas. Com um ciclo de vida mais curto de 90 dias se aproximando, e as implicações da Computação Quântica também em horizonte, as coisas não estão ficando menos complicadas.
“É mais importante do que nunca que as CAs e os provedores de CLM permaneçam no topo de seu jogo e cumpram integralmente as regras e os requisitos básicos do CA/Browser Forum.”
Um porta-voz da Entrust enviou uma declaração ao The Register : “A decisão do Chrome Root Program é uma decepção para nós como um membro de longa data da comunidade do CA/B Forum. Estamos comprometidos com o negócio de certificado TLS público e estamos trabalhando em planos para fornecer continuidade aos nossos clientes.” ®
