行業新聞與博客

Google Chrome 不再信任 Entrust 簽發的證書

谷歌表示,在合規性和總體改進方面經歷了一段長期失敗後,該公司正在切斷對 Entrust 的信任。

Entrust 是 Chrome 用來驗證最終用户訪問的網站是否可信的眾多證書頒發機構 (CA) 之一。從 11 月 1 日起,在最近進入測試階段的 Chrome 127 中,驗證 Entrust 或 AffirmTrust 根的 TLS 服務器身份驗證證書將默認不受信任。

至關重要的是,這適用於最早簽名證書時間戳在 2024 年 10 月 31 日之後的證書。因此,當前證書將繼續有效,但 10 月 31 日之後的新證書將不起作用。

谷歌指出了過去幾年有關 Entrust 的一系列事件報告,稱它們“突顯了令人擔憂的行為模式”,最終導致該安全公司在谷歌的評級中下降。


谷歌在博客中表示,這些事件“削弱了人們對 [Entrust] 作為公眾信任的 CA 所有者的能力、可靠性和誠信的信心” 。

此前,Mozilla 於 5 月份發佈了一份報告,列出了今年 3 月至 5 月間 Entrust 證書問題的詳細清單。Mozilla 指出,在最初的回覆遭到 Mozilla 社區的嚴厲反饋後,Entrust 承認了其程序上的缺陷,並表示將把這些反饋視為一次學習機會。 

現在看來谷歌還沒有接受 Entrust 的道歉回應。

根據 11 月的截止日期,Google 提供了一段較長的寬限期,並表示希望將任何潛在的中斷降到最低。10 月 31 日之前頒發的證書只要符合 Google 博客中指定的根證書要求,仍將受到信任。

更改後,Google 用户可手動信任這些根以維持其當前功能。如果企業也想在其內部網絡中使用 Entrust 的證書,則從 Chrome 127 開始,他們將能夠覆蓋此處描述的限制。

谷歌表示:“認證機構在互聯網上扮演着特權和值得信賴的角色,為瀏覽器和網站之間的加密連接提供支持。”“肩負這一重大責任的同時,我們也期望其遵守合理且共識驅動的安全和合規期望,包括 CA/ 瀏覽器 TLS 基準要求中定義的期望。”

  • Google 為 Chrome Enterprise 瀏覽器添加更多控制功能
  • 研究表明,安裝 Chrome 商店中不可靠擴展程序的風險遠比谷歌承認的要大
  • 活動人士稱,谷歌的隱私沙盒更像是一個隱私幻象
  • 谷歌將認真推進 Chrome 廣告攔截擴展程序改革

“在過去六年中,我們觀察到合規性失敗、未兑現改進承諾以及在響應公開披露的事件報告方面缺乏切實可衡量的進展。當將這些因素綜合考慮並考慮到每個公眾信任的 CA 對互聯網生態系統造成的固有風險時,我們認為 Chrome 繼續信任 Entrust 已不再合理。”

這些變化將適用於除 iOS 上的 Chrome 之外的所有主要操作系統的 Chrome 用户,因為 iOS 上的 Chrome 不允許在 iPhone 和 iPad 上運行 Chrome 自己的證書驗證。不過,MacOS 不會受到影響,並將從 11 月起像其他所有操作系統一樣阻止 Entrust 證書。

對於網站所有者來説,這意味着他們需要在 11 月截止日期之前(最好儘快)選擇新的 CA 所有者,以確保訪問者不會看到 Chrome 的警告頁面,該頁面將與網站的連接標記為不安全。

Sectigo 首席體驗官 Tim Callan 在給The Reg的一封電郵中表示,這則新聞提醒 CA,他們必須達到行業對他們的期望標準。

“CA 必須嚴格遵守最高標準,這不僅是為了他們的業務,也是為了所有依賴他們的人和企業。隨着 90 天的更短生命週期即將到來,以及量子計算的影響也即將出現,事情並沒有變得簡單。

“現在比以往任何時候都更重要的是,CA 和 CLM 提供商必須保持領先地位,並完全遵守 CA/ 瀏覽器論壇規則和基本要求。”

Entrust 的一位發言人向The Register發送了一份聲明:“作為 CA/B Forum 社區的長期成員,Chrome Root Program 的決定令我們感到失望。我們致力於公共 TLS 證書業務,並正在制定計劃,為客户提供連續性。”®

需要幫助嗎?聯繫我們的支持團隊 在線客服