Google a annoncé qu’il allait commencer à bloquer les sites Web qui utilisent des certificats d’Entrust à partir du 1er novembre 2024 environ, dans son navigateur Chrome, invoquant des manquements à la conformité et l’incapacité de l’autorité de certification à résoudre les problèmes de sécurité en temps opportun.
« Au cours des dernières années, des informations divulguées publiquement rapports d’incidents a mis en évidence un modèle de comportements préoccupants par Entrust qui ne répondent pas aux attentes ci-dessus et ont érodé la confiance dans leur compétence, leur fiabilité et leur intégrité en tant qu’organisme de confiance publique. [certificate authority] propriétaire », l’équipe de sécurité de Google Chrome dit.
À cette fin, le géant de la technologie a annoncé son intention de ne plus faire confiance aux certificats d’authentification de serveur TLS d’Entrust à partir des versions 127 et supérieures du navigateur Chrome par défaut. Cependant, il a indiqué que ces paramètres peuvent être remplacés par les utilisateurs de Chrome et les entreprises clientes s’ils le souhaitent.
Google a également noté que les autorités de certification jouent un rôle privilégié et de confiance pour garantir des connexions cryptées entre les navigateurs et les sites Web, et que le manque de progrès d’Entrust en ce qui concerne les rapports d’incidents divulgués publiquement et les engagements d’amélioration non réalisés pose des risques pour l’écosystème Internet.
L’action de blocage devrait concerner les versions Windows, macOS, ChromeOS, Android et Linux du navigateur. L’exception notable est Chrome pour iOS et iPadOS, en raison des politiques d’Apple qui ne permettent pas l’utilisation de Chrome pour iOS et iPadOS. Boutique racine Chrome d’être utilisé.
En conséquence, les utilisateurs accédant à un site Web qui sert un certificat émis par Entrust ou AffirmTrust seront accueillis par un message interstitiel cela les avertit que leur connexion n’est pas sécurisée et n’est pas privée.
Les opérateurs de sites Web concernés sont invités à s’adresser à un propriétaire d’autorité de certification de confiance publique afin de minimiser les perturbations d’ici le 31 octobre 2024. Selon le site Web d’Entrust, ses solutions sont utilisées par Microsoft, Mastercard, VISA et VMware, entre autres.
« Alors que les opérateurs de sites Web pourraient retarder l’impact de l’action de blocage en choisissant de collecter et d’installer un nouveau certificat TLS émis par Entrust avant le début de l’action de blocage de Chrome le 1er novembre 2024, les opérateurs de sites Web devront inévitablement collecter et installer un nouveau certificat TLS auprès de l’une des nombreuses autres autorités de certification incluses dans le Chrome Root Store », a déclaré Google.