Google stawia na bezpieczeństwo
Firma Google, znana z dbałości o bezpieczeństwo swoich użytkowników, ogłosiła, że od 1 listopada 2024 roku zacznie blokować witryny korzystające z certyfikatów Entrust w swojej przeglądarce Chrome. Decyzja ta jest efektem długotrwałych problemów związanych z bezpieczeństwem, które nie zostały skutecznie rozwiązane przez Entrust. „W ciągu ostatnich kilku lat publicznie ujawniane raporty o incydentach uwypukliły niepokojący wzorzec zachowań Entrust, które nie spełniają powyższych oczekiwań, i podważyły zaufanie do ich kompetencji, niezawodności i uczciwości jako publicznie zaufanego urzędu certyfikacji” — poinformował zespół ds. bezpieczeństwa Chrome w Google.
Decyzja ta oznacza, że certyfikaty uwierzytelniania serwera TLS od Entrust przestaną być uznawane za bezpieczne przez przeglądarkę Chrome od wersji 127 i nowszych. Użytkownicy Chrome i klienci korporacyjni będą mieli możliwość ręcznego zastąpienia tych ustawień, jednak domyślnie przeglądarka będzie blokować witryny z certyfikatami Entrust.
Google podkreśla, że urzędy certyfikacji odgrywają kluczową rolę w zapewnianiu bezpiecznych połączeń między przeglądarkami a stronami internetowymi. Brak postępów ze strony Entrust w zakresie naprawy publicznie ujawnianych incydentów oraz niezrealizowane zobowiązania dotyczące ulepszeń stanowią poważne ryzyko dla całego ekosystemu internetowego.
Działanie blokujące obejmie wersje przeglądarki na systemach Windows, macOS, ChromeOS, Android i Linux. Wyjątkiem będą wersje Chrome na iOS i iPadOS, ze względu na zasady Apple, które nie zezwalają na korzystanie z Chrome Root Store. Użytkownicy odwiedzający strony z certyfikatami Entrust lub AffirmTrust zostaną powitani ostrzeżeniem, że połączenie nie jest bezpieczne i prywatne.
Operatorzy stron internetowych muszą przenieść się do publicznie zaufanego urzędu certyfikacji do 31 października 2024 roku, aby zminimalizować zakłócenia. Strona internetowa Entrust informuje, że z ich rozwiązań korzystają takie firmy jak Microsoft, Mastercard, VISA i VMware.
Co dalej?
Google zasugerował operatorom witryn, aby zebrali i zainstalowali nowe certyfikaty TLS od jednego z wielu innych urzędów certyfikacji zawartych w Chrome Root Store. „Operatorzy witryn mogliby opóźnić skutki blokowania, decydując się na zebranie i zainstalowanie nowego certyfikatu TLS wydanego przez Entrust przed rozpoczęciem blokowania przeglądarki Chrome 1 listopada 2024 r., jednak operatorzy witryn nieuchronnie będą musieli zebrać i zainstalować nowy certyfikat TLS od jednego z wielu innych urzędów certyfikacji zawartych w sklepie Chrome Root Store” — dodał Google.
Decyzja Google jest częścią szerszej strategii mającej na celu wzmocnienie bezpieczeństwa online i zapewnienie, że tylko najbardziej wiarygodne urzędy certyfikacji będą uznawane. To wyzwanie dla Entrust, które będzie musiało podjąć poważne kroki, aby odzyskać zaufanie branży i użytkowników. Tymczasem operatorzy stron internetowych powinni jak najszybciej podjąć działania, aby zapewnić swoim użytkownikom bezpieczne połączenia i uniknąć problemów związanych z blokowaniem przez Chrome.
