Google объявила, что начиная примерно с 1 ноября 2024 года браузер Chrome перестанет доверять TLS-сертификатам, выпущенным удостоверяющим центром Entrust. Причина — систематические нарушения требований и неспособность компании своевременно устранять проблемы безопасности.
Что не устроило Google
Команда безопасности Chrome заявила, что за последние несколько лет публично раскрытые отчёты об инцидентах выявили «устойчивую модель тревожного поведения» со стороны Entrust, которая не соответствует ожиданиям от публично доверенного удостоверяющего центра. По словам Google, это подорвало доверие к компетентности, надёжности и добросовестности компании.
Начиная с версии Chrome 127 и выше браузер по умолчанию перестанет доверять сертификатам серверной TLS-аутентификации от Entrust. При этом пользователи и корпоративные заказчики смогут вручную переопределить эту настройку, если им это необходимо.
Google подчёркивает, что удостоверяющие центры играют привилегированную и доверенную роль в обеспечении зашифрованных соединений между браузерами и сайтами, а отсутствие прогресса у Entrust по устранению выявленных проблем и невыполненные обещания по улучшению создают риски для всей интернет-экосистемы.
Кого коснётся блокировка
Ограничение затронет версии Chrome для Windows, macOS, ChromeOS, Android и Linux. Заметное исключение — Chrome для iOS и iPadOS: политика Apple не позволяет использовать в этих версиях Chrome Root Store, собственное хранилище корневых сертификатов Google.
Пользователи, которые попадут на сайт с сертификатом от Entrust или связанного с ним центра AffirmTrust, увидят межстраничное предупреждение о том, что соединение небезопасно и не является приватным.
Что делать владельцам сайтов
Google рекомендует операторам затронутых сайтов перейти на другой публично доверенный удостоверяющий центр до 31 октября 2024 года, чтобы избежать сбоев. Согласно сайту Entrust, её решениями пользуются, в частности, Microsoft, Mastercard, VISA и VMware.
В Google отметили: даже если владелец сайта успеет получить и установить новый сертификат TLS от Entrust до начала блокировки 1 ноября 2024 года, это лишь отсрочит проблему — в конечном итоге всё равно придётся получать сертификат от одного из других удостоверяющих центров, включённых в Chrome Root Store.
Реакция Entrust
В ответ на заявление Google компания Entrust признала имевшиеся нарушения и сообщила, что после тщательной проверки работы своего удостоверяющего центра, проведённой за «последние несколько месяцев», внесла ряд изменений в организацию, процессы и политики.
Entrust также заявила, что сотрудничает с Chrome и другими браузерными root-программами, чтобы устранить высказанные претензии и одновременно обеспечить непрерывность работы для клиентов на время внедрения изменений.
Источник: The Hacker News.