行業新聞與部落格

谷歌表示，在合規性和總體改進方面經歷了一段長期失敗後，該公司正在切斷對 Entrust 的信任。

Entrust 是 Chrome 用來驗證終端使用者訪問的網站是否可信的眾多憑證頒發機構 (CA) 之一。從 11 月 1 日起，在最近進入測試階段的 Chrome 127 中，驗證 Entrust 或 AffirmTrust 根的 TLS 伺服器身份驗證憑證將預設不受信任。

至關重要的是，這適用於最早簽名憑證時間戳在 2024 年 10 月 31 日之後的憑證。因此，當前憑證將繼續有效，但 10 月 31 日之後的新憑證將不起作用。

谷歌指出了過去幾年有關 Entrust 的一系列事件報告，稱它們“突顯了令人擔憂的行為模式”，最終導致該安全公司在谷歌的評級中下降。

谷歌在部落格中表示，這些事件“削弱了人們對 [Entrust] 作為公眾信任的 CA 所有者的能力、可靠性和誠信的信心” 。

此前，Mozilla 於 5 月份釋出了一份報告，列出了今年 3 月至 5 月間 Entrust 憑證問題的詳細清單。Mozilla 指出，在最初的回覆遭到 Mozilla 社群的嚴厲反饋後，Entrust 承認了其程式上的缺陷，並表示將把這些反饋視為一次學習機會。 

現在看來谷歌還沒有接受 Entrust 的道歉回應。

根據 11 月的截止日期，Google 提供了一段較長的寬限期，並表示希望將任何潛在的中斷降到最低。10 月 31 日之前頒發的憑證只要符合 Google 部落格中指定的根憑證要求，仍將受到信任。

更改後，Google 使用者可手動信任這些根以維持其當前功能。如果企業也想在其內部網路中使用 Entrust 的憑證，則從 Chrome 127 開始，他們將能夠覆蓋此處描述的限制。

谷歌表示：“認證機構在網際網路上扮演著特權和值得信賴的角色，為瀏覽器和網站之間的加密連線提供支援。”“肩負這一重大責任的同時，我們也期望其遵守合理且共識驅動的安全和合規期望，包括 CA/ 瀏覽器 TLS 基準要求中定義的期望。”

• Google 為 Chrome Enterprise 瀏覽器新增更多控制功能
• 研究表明，安裝 Chrome 商店中不可靠擴充程式的風險遠比谷歌承認的要大
• 活動人士稱，谷歌的隱私沙盒更像是一個隱私幻象
• 谷歌將認真推進 Chrome 廣告攔截擴充程式改革

“在過去六年中，我們觀察到合規性失敗、未兌現改進承諾以及在響應公開披露的事件報告方面缺乏切實可衡量的進展。當將這些因素綜合考慮並考慮到每個公眾信任的 CA 對網際網路生態系統造成的固有風險時，我們認為 Chrome 繼續信任 Entrust 已不再合理。”

這些變化將適用於除 iOS 上的 Chrome 之外的所有主要作業系統的 Chrome 使用者，因為 iOS 上的 Chrome 不允許在 iPhone 和 iPad 上執行 Chrome 自己的憑證驗證。不過，MacOS 不會受到影響，並將從 11 月起像其他所有作業系統一樣阻止 Entrust 憑證。

對於網站所有者來說，這意味著他們需要在 11 月截止日期之前（最好儘快）選擇新的 CA 所有者，以確保訪問者不會看到 Chrome 的警告頁面，該頁面將與網站的連線標記為不安全。

Sectigo 首席體驗官 Tim Callan 在給The Reg的一封電子信箱中表示，這則新聞提醒 CA，他們必須達到行業對他們的期望標準。

“CA 必須嚴格遵守最高標準，這不僅是為了他們的業務，也是為了所有依賴他們的人和企業。隨著 90 天的更短生命週期即將到來，以及量子計算的影響也即將出現，事情並沒有變得簡單。

“現在比以往任何時候都更重要的是，CA 和 CLM 提供商必須保持領先地位，並完全遵守 CA/ 瀏覽器論壇規則和基本要求。”

Entrust 的一位發言人向The Register傳送了一份宣告：“作為 CA/B Forum 社群的長期成員，Chrome Root Program 的決定令我們感到失望。我們致力於公共 TLS 憑證業務，並正在制定計劃，為客戶提供連續性。”®