O Google anunciou que começará a bloquear websites que usam certificados da Entrust a partir de 1º de novembro de 2024 em seu navegador Chrome, citando falhas de conformidade e a incapacidade da autoridade de certificação de resolver problemas de segurança em tempo hábil.
“Nos últimos anos, relatórios de incidentes divulgados publicamente destacaram um padrão de comportamentos preocupantes da Entrust que não atendem às expectativas acima e prejudicaram a confiança em sua competência, confiabilidade e integridade como proprietária de uma (autoridade de certificação) de confiança pública”, disse a equipe de segurança do Chrome do Google.
Para esse fim, a gigante da tecnologia disse que pretende não confiar mais nos certificados de autenticação de servidor TLS da Entrust, começando com as versões 127 e superiores do navegador Chrome por padrão. No entanto, disse que essas configurações podem ser substituídas por usuários do Chrome e clientes corporativos, caso assim o desejem.
O Google observou ainda que as autoridades certificadoras desempenham um papel privilegiado e confiável na garantia de conexões criptografadas entre navegadores e websites, e que a falta de progresso da Entrust quando se trata de relatórios de incidentes divulgados publicamente e compromissos de melhoria não realizados representa riscos para o ecossistema da Web.
Espera-se que a ação de bloqueio cubra as versões Home windows, macOS, ChromeOS, Android e Linux do navegador. A exceção notável é o Chrome para iOS e iPadOS, devido às políticas da Apple que não permitem o uso do Chrome Root Retailer.
Como resultado, os usuários que navegam em um website que fornece um certificado emitido pela Entrust ou AffirmTrust serão recebidos por uma mensagem intersticial que os avisa que sua conexão não é segura e não é privada.
Os operadores de websites afetados são incentivados a migrar para um proprietário de autoridade de certificação de confiança pública para minimizar a interrupção até 31 de outubro de 2024. De acordo com o website da Entrust, suas soluções são usadas pela Microsoft, Mastercard, VISA e VMware, entre outros.
“Embora os operadores de websites possam atrasar o impacto da ação de bloqueio optando por coletar e instalar um novo certificado TLS emitido pela Entrust antes que a ação de bloqueio do Chrome comece em 1º de novembro de 2024, os operadores de websites inevitavelmente precisarão coletar e instalar um novo certificado TLS de um das muitas outras CAs incluídas na Chrome Root Retailer”, disse o Google.
