O Google está rompendo sua confiança na Entrust após o que descreve como um período prolongado de falhas em termos de conformidade e melhorias gerais.
Entrust é uma das muitas autoridades de certificação (CA) usadas pelo Chrome para verificar se os sites que os usuários finais visitam são confiáveis. A partir de 1º de novembro no Chrome 127, que entrou recentemente em beta, os certificados de autenticação de servidor TLS validando para raízes Entrust ou AffirmTrust não serão confiáveis por padrão.
O Google destacou uma série de relatórios de incidentes nos últimos anos relacionados à Entrust, dizendo que eles “destacaram um padrão de comportamentos preocupantes” que acabaram fazendo a empresa de segurança cair nas estimativas do Google.
O incidentes “destruíram a confiança [Entrust’s] competência, confiabilidade e integridade como proprietário de CA de confiança pública”, Google afirmou em um blog.
Segue-se um mês de maio publicação pela Mozilla, que compilou uma lista extensa de problemas de certificado da Entrust entre março e maio deste ano. Em resposta, e após uma resposta inicial que foi recebida com feedback severo da comunidade Mozilla, a Entrust reconheceu suas falhas processuais, observou a Mozilla, e disse que estava tratando o feedback como uma oportunidade de aprendizado.
Agora parece que o Google não aceitou tão bem a resposta de desculpas da Entrust.
De acordo com o limite de novembro, o Google está oferecendo um longo período de carência que, segundo ele, minimizará qualquer interrupção potencial. Os certificados emitidos antes de 31 de outubro permanecerão confiáveis, desde que sejam validados nas raízes especificadas no blog do Google.
Os usuários do Google podem confiar manualmente nessas raízes após a mudança para manter sua funcionalidade atual. Empreendimentos poderão substituir as restrições descritas aqui a partir do Chrome 127, caso queiram usar os certificados da Entrust também em sua rede interna.
“As autoridades de certificação desempenham um papel privilegiado e confiável na internet, que sustenta conexões criptografadas entre navegadores e sites”, disse o Google. “Com essa tremenda responsabilidade, vem a expectativa de aderir a expectativas de segurança e conformidade razoáveis e orientadas por consenso, incluindo aquelas definidas pelos Requisitos de Base CA/Browser TLS.
“Nos últimos seis anos, observamos um padrão de falhas de conformidade, compromissos de melhoria não cumpridos e a ausência de progresso tangível e mensurável em resposta a relatórios de incidentes divulgados publicamente. Quando esses fatores são considerados em conjunto e considerados em relação ao risco inerente que cada CA publicamente confiável representa para o ecossistema da internet, é nossa opinião que a confiança contínua do Chrome na Entrust não é mais justificada.”
As alterações serão aplicadas aos usuários do Chrome em todos os principais sistemas operacionais, exceto o Chrome em iOSo que não permite que a verificação do certificado do próprio Chrome funcione iPhone e iPads. No entanto, o MacOS não é afetado por isso e bloqueará os certificados da Entrust a partir de novembro, como todo o resto.
Para proprietários de sites, isso significa que eles precisarão escolher um novo proprietário de CA antes do encerramento de novembro – mas de preferência o mais rápido possível – para garantir que os visitantes não recebam a página de aviso do Chrome designando a conexão ao site como insegura.
Tim Callan, diretor de experiência da Sectigo, disse em um e-mail para O Reg que a notícia serve como um lembrete aos CAs de que eles devem se manter dentro dos padrões que a indústria espera deles.
“CAs precisam se manter nos mais altos padrões, não apenas para o bem de seus negócios, mas para todas as pessoas e empresas que dependem delas. Com um cronograma de ciclo de vida mais curto de 90 dias se aproximando, e as implicações da Computação Quântica também no horizonte, as coisas não estão ficando menos complicadas.
“É mais importante do que nunca que as CAs e os provedores de CLM permaneçam no topo de seu jogo e cumpram integralmente as regras e os requisitos básicos do CA/Browser Forum.”
Um porta-voz da Entrust enviou uma declaração para O registro: “A decisão do Programa Chrome Root é uma decepção para nós, como membros de longa data da comunidade do Fórum CA/B. Estamos comprometidos com o negócio de certificados TLS públicos e trabalhando em planos para fornecer continuidade aos nossos clientes. ” ®
