O Chrome 127 é a próxima versão do navegador do Google. Entre as suas novidades estará algo que pode deixar muitos usuários irritados: o bloqueio de sites que usam os certificados de autenticação TLS da Entrust. O motivo? Eles não são mais considerados confiáveis.
Hoje, o endereço de quase todos os sites começa com “https://” em vez de “http://”. Essa mudança ocorreu depois que o Chrome passou a sinalizar sites com HTTP como não seguros. Com isso, o uso de HTTPS passou a ser praticamente obrigatório.
Usar HTTPS significa contar com um certificado de segurança SSL ou TLS. Esse componente é emitido por uma Autoridade Certificadora (CA, em inglês). A Entrust é justamente uma organização que atua como CA. Só que o Google não confia mais nela.
Os problemas com a Entrust
Em seu blog de segurança, o Google comunicou que o Chrome 127 e versões sucessoras deixarão de tratar como confiáveis os certificados emitidos pela Entrust e sua subsidiária AffirmTrust. A justificativa é esta:
Durante os últimos anos, relatórios de incidentes divulgados publicamente destacaram um padrão preocupante de comportamento da Entrust que não atende às expectativas acima e minaram a confiança em sua competência, confiabilidade e integridade como CA de confiança pública.
Como “expectativas acima” o Google se refere aos termos do Chrome Root Program Policy, que trata justamente de ações de segurança que as autoridades certificadoras devem seguir.
Entre os relatórios de incidentes aos quais o Google se refere estão uma ampla lista de problemas com certificados da Entrust divulgados pela Mozilla, que vão de uso de informações incorretas até falhas em revogação de certificados.
Certificados da Entrust serão barrados no Chrome
Embora tenha reconhecido pelo menos partes das falhas e se comprometido a solucioná-las, as ações da empresa não convenceram o Google. Diante disso, os certificados Entrust e AffirmTrust deixarão de ser reconhecidos pelo Chrome 127 a partir de 1º de novembro de 2024.
Na prática, os certificados TLS emitidos pelas duas organizações após 31 de outubro de 2024 não estarão em conformidade com o programa Chrome Root.
Como consequência, o usuário verá mensagens de erro como “Sua conexão não é particular (ERR_CERT_AUTHORITY_INVALID)” ao acessar um site que tenha um desses certificados.
Essa mudança valerá para as versões do Chrome em todos os sistemas operacionais, exceto o iOS, pois a plataforma não segue as diretrizes do programa Chrome Root.
O Google espera que, com esse prazo de quatro meses, sites que usam certificados Entrust e AffirmTrust troquem de autoridade certificadora em tempo de evitar que o problema afete as suas páginas.
A Entrust se defende
Todd Wilkinson, CEO da Entrust, disse em comunicado que os incidentes relacionados aos certificados da empresa foram efeito de interpretações incorretas dos requisitos de conformidade. “Reconhecemos que há oportunidades para melhorarmos e concluímos uma avaliação completa de nossa operação como CA nos últimos meses”, completou.
Pelo jeito, esses esforços não foram suficientes. Mas a Entrust informa que continua trabalhando para garantir que seus clientes não enfrentem interrupções em seus serviços por conta da restrição anunciada pelo Google.
Chrome vai barrar milhares de sites que usam certificados da Entrust