A Google anunciou que não confiará mais nos certificados de autoridade certificadora (CA) raiz assinados pela Chunghwa Telecom e pela Netlock no Chrome Root Store devido a um padrão de falhas de conformidade e à falta de melhorias.
A mudança ocorrerá na versão 139 do Google Chrome, que está programada para ser lançada em 1º de agosto de 2025.
O gigante da tecnologia cita falhas contínuas de conformidade, compromissos de melhorias não cumpridos e falta de progresso mensurável como razões para esta ação.
"A confiança do Chrome na confiabilidade da Chunghwa Telecom e da Netlock como proprietárias de CA incluídas no Chrome Root Store diminuiu devido a padrões de comportamento preocupantes observados ao longo do último ano", diz o anúncio.
Esses padrões representam uma perda de integridade e ficam aquém das expectativas, erodindo a confiança nessas proprietárias de CA como emissores de certificados publicamente confiáveis por padrão no Chrome.
A Chunghwa Telecom é o maior provedor de telecomunicações de Taiwan, operando serviços de internet, móveis e linhas fixas.
Ela administra uma autoridade certificadora pública (CA) chamada ePKI e HiPKI, emitindo certificados digitais para comunicações web seguras.
A Netlock é uma importante provedora húngara de serviços de certificação digital (assinaturas eletrônicas, carimbos de tempo e certificados TLS/SSL), mais conhecida pelo seu Arany (Gold Class) Root CA, amplamente utilizado na Hungria e em outros países europeus.
O Chrome Root Store é uma lista de autoridades certificadoras confiáveis mantidas pela Google e usada pelo Chrome para validar conexões HTTPS.
Ambas as entidades atuaram como autoridades certificadoras públicas (CAs) por anos, com seus certificados incluídos no Chrome Root Store, significando que o Chrome os confiava por padrão.
A partir de 1º de agosto de 2025, o Google Chrome exibirá um aviso "Sua conexão não é privada" quando os usuários visitarem sites que continuem a usar certificados emitidos pela Chunghwa Telecom ou pela Netlock, pois suas CAs raiz não serão mais confiáveis.
Embora passar por essa página será possível, essa ação quebrará a experiência de navegação suave nos sites afetados e criará problemas de confiança para os visitantes.
Por esse motivo, recomenda-se que os administradores web afetados tomem providências agora e mudem para uma CA confiável o quanto antes.
Embora os certificados da Netlock e da Chunghwa Telecom assinados até 31 de julho de 2025 ainda sejam confiáveis, recomenda-se não adiar sua substituição inevitável.
A Google observa que as empresas afetadas podem substituir as mudanças de confiança instalando as raízes afetadas como localmente confiáveis.
Deve ser observado que essa mudança não afetará o Microsoft Edge, Mozilla Firefox ou Apple Safari, pois utilizam diferentes lojas de confiança do navegador.
Esta ação mais recente segue uma semelhante contra a Entrust, anunciada em junho de 2024 e entrando em vigor em 12 de novembro de 2024.
Na época, a Google justificou sua decisão observando que a Entrust havia sido envolvida em múltiplos incidentes publicamente divulgados que mostraram que ela não conseguiu atender aos padrões de conformidade e segurança da indústria desde 2018.
Da mesma forma, a Entrust não cumpriu as promessas de melhorar suas práticas ou demonstrar progresso mensurável.
Em março de 2025, a Google anunciou novos requisitos de segurança obrigatórios para todas as CAs que emitem certificados HTTPS/TLS publicamente confiáveis, sinalizando sua intenção de apertar os padrões e pressionar as CAs a atenderem rapidamente às expectativas de conformidade em evolução.
Os casos da Chunghwa Telecom e da Netlock são os primeiros exemplos de aplicação desses requisitos mais rigorosos, com mais prováveis de seguir no futuro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...