A Google anunciou que começará a bloquear sites que utilizam certificados da Entrust a partir de aproximadamente 1º de novembro de 2024, em seu navegador Chrome, citando falhas de conformidade e a incapacidade da autoridade de certificado de abordar questões de segurança em tempo hábil.
"Ao longo dos últimos anos, relatórios de incidentes divulgados publicamente destacaram um padrão de comportamentos preocupantes por parte da Entrust, que não atendem às expectativas acima, e erodiu a confiança em sua competência, confiabilidade e integridade como dona de uma [certificate authority] de confiança pública", disse a equipe de segurança do Chrome da Google.
Com isso em mente, o gigante da tecnologia disse que pretende não confiar mais nos certificados de autenticação de servidor TLS da Entrust começando com as versões do navegador Chrome 127 e superiores por padrão.
No entanto, disse que essas configurações podem ser substituídas pelos usuários do Chrome e clientes corporativos, caso desejem fazê-lo.
A Google ainda observou que as autoridades de certificados desempenham um papel privilegiado e de confiança em garantir conexões criptografadas entre navegadores e sites, e que a falta de progresso da Entrust quando se trata de relatórios de incidentes divulgados publicamente e compromissos de melhoria não realizados representa riscos para o ecossistema da internet.
A ação de bloqueio deve abranger as versões Windows, macOS, ChromeOS, Android e Linux do navegador.
A exceção notável é o Chrome para iOS e iPadOS, devido às políticas da Apple que não permitem que o Chrome Root Store seja utilizado.
Como resultado, os usuários que navegarem até um site que serve um certificado emitido pela Entrust ou AffirmTrust serão recebidos por uma mensagem intersticial que os avisa que sua conexão não é segura e não é privada.
Operadores de sites afetados são instados a migrar para um dono de autoridade de certificado de confiança pública para minimizar interrupções até 31 de outubro de 2024.
De acordo com o site da Entrust, suas soluções são utilizadas por Microsoft, Mastercard, VISA e VMware, entre outros.
"Embora os operadores de sites possam adiar o impacto da ação de bloqueio escolhendo coletar e instalar um novo certificado TLS emitido pela Entrust antes da ação de bloqueio do Chrome começar em 1º de novembro de 2024, os operadores de sites inevitavelmente precisarão coletar e instalar um novo certificado TLS de uma das muitas outras CAs incluídas no Chrome Root Store", disse a Google.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...