Google ha anunciado que comenzará a bloquear sitios web que utilicen certificados de Entrust a partir del 1 de noviembre de 2024 aproximadamente, en su navegador Chrome, citando fallas de cumplimiento y la incapacidad de la autoridad certificadora para abordar los problemas de seguridad de manera oportuna.
“En los últimos años, se han divulgado públicamente informes de incidentes Resaltó un patrón de conductas preocupantes por Entrust que no cumplen con las expectativas anteriores y ha erosionado la confianza en su competencia, confiabilidad e integridad como empresa de confianza pública. [certificate authority] propietario”, el equipo de seguridad de Chrome de Google dicho.
Con ese fin, el gigante tecnológico afirmó que tiene la intención de dejar de confiar en los certificados de autenticación de servidor TLS de Entrust a partir de las versiones 127 y posteriores del navegador Chrome de forma predeterminada. Sin embargo, afirmó que los usuarios de Chrome y los clientes empresariales pueden anular estas configuraciones si así lo desean.
Google señaló además que las autoridades de certificación desempeñan un papel privilegiado y confiable a la hora de garantizar conexiones cifradas entre navegadores y sitios web, y que la falta de progreso de Entrust en lo que respecta a los informes de incidentes divulgados públicamente y los compromisos de mejora no realizados plantea riesgos para el ecosistema de Internet.
Se espera que la medida de bloqueo cubra las versiones de Windows, macOS, ChromeOS, Android y Linux del navegador. La excepción notable es Chrome para iOS y iPadOS, debido a las políticas de Apple que no permiten la Tienda raíz de Chrome de ser utilizado.
Como resultado, los usuarios que naveguen a un sitio web que ofrezca un certificado emitido por Entrust o AffirmTrust serán recibidos por un mensaje intersticial que les advierte que su conexión no es segura y no es privada.
Se insta a los operadores de sitios web afectados a que cambien a un propietario de autoridad de certificación de confianza pública para minimizar las interrupciones antes del 31 de octubre de 2024. Según el sitio web de Entrust, sus soluciones son utilizadas por Microsoft, Mastercard, VISA y VMware, entre otros.
“Si bien los operadores de sitios web podrían retrasar el impacto de la acción de bloqueo al optar por recopilar e instalar un nuevo certificado TLS emitido por Entrust antes de que comience la acción de bloqueo de Chrome el 1 de noviembre de 2024, los operadores de sitios web inevitablemente necesitarán recopilar e instalar un nuevo certificado TLS de uno de las muchas otras CA incluidas en Chrome Root Store”, dijo Google.