行业新闻与博客

Google Chrome 不再信任 Entrust 签发的证书

谷歌表示,在合规性和总体改进方面经历了一段长期失败后,该公司正在切断对 Entrust 的信任。

Entrust 是 Chrome 用来验证最终用户访问的网站是否可信的众多证书颁发机构 (CA) 之一。从 11 月 1 日起,在最近进入测试阶段的 Chrome 127 中,验证 Entrust 或 AffirmTrust 根的 TLS 服务器身份验证证书将默认不受信任。

至关重要的是,这适用于最早签名证书时间戳在 2024 年 10 月 31 日之后的证书。因此,当前证书将继续有效,但 10 月 31 日之后的新证书将不起作用。

谷歌指出了过去几年有关 Entrust 的一系列事件报告,称它们“突显了令人担忧的行为模式”,最终导致该安全公司在谷歌的评级中下降。


谷歌在博客中表示,这些事件“削弱了人们对 [Entrust] 作为公众信任的 CA 所有者的能力、可靠性和诚信的信心” 。

此前,Mozilla 于 5 月份发布了一份报告,列出了今年 3 月至 5 月间 Entrust 证书问题的详细清单。Mozilla 指出,在最初的回复遭到 Mozilla 社区的严厉反馈后,Entrust 承认了其程序上的缺陷,并表示将把这些反馈视为一次学习机会。 

现在看来谷歌还没有接受 Entrust 的道歉回应。

根据 11 月的截止日期,Google 提供了一段较长的宽限期,并表示希望将任何潜在的中断降到最低。10 月 31 日之前颁发的证书只要符合 Google 博客中指定的根证书要求,仍将受到信任。

更改后,Google 用户可手动信任这些根以维持其当前功能。如果企业也想在其内部网络中使用 Entrust 的证书,则从 Chrome 127 开始,他们将能够覆盖此处描述的限制。

谷歌表示:“认证机构在互联网上扮演着特权和值得信赖的角色,为浏览器和网站之间的加密连接提供支持。”“肩负这一重大责任的同时,我们也期望其遵守合理且共识驱动的安全和合规期望,包括 CA/ 浏览器 TLS 基准要求中定义的期望。”

  • Google 为 Chrome Enterprise 浏览器添加更多控制功能
  • 研究表明,安装 Chrome 商店中不可靠扩展程序的风险远比谷歌承认的要大
  • 活动人士称,谷歌的隐私沙盒更像是一个隐私幻象
  • 谷歌将认真推进 Chrome 广告拦截扩展程序改革

“在过去六年中,我们观察到合规性失败、未兑现改进承诺以及在响应公开披露的事件报告方面缺乏切实可衡量的进展。当将这些因素综合考虑并考虑到每个公众信任的 CA 对互联网生态系统造成的固有风险时,我们认为 Chrome 继续信任 Entrust 已不再合理。”

这些变化将适用于除 iOS 上的 Chrome 之外的所有主要操作系统的 Chrome 用户,因为 iOS 上的 Chrome 不允许在 iPhone 和 iPad 上运行 Chrome 自己的证书验证。不过,MacOS 不会受到影响,并将从 11 月起像其他所有操作系统一样阻止 Entrust 证书。

对于网站所有者来说,这意味着他们需要在 11 月截止日期之前(最好尽快)选择新的 CA 所有者,以确保访问者不会看到 Chrome 的警告页面,该页面将与网站的连接标记为不安全。

Sectigo 首席体验官 Tim Callan 在给The Reg的一封电子邮件中表示,这则新闻提醒 CA,他们必须达到行业对他们的期望标准。

“CA 必须严格遵守最高标准,这不仅是为了他们的业务,也是为了所有依赖他们的人和企业。随着 90 天的更短生命周期即将到来,以及量子计算的影响也即将出现,事情并没有变得简单。

“现在比以往任何时候都更重要的是,CA 和 CLM 提供商必须保持领先地位,并完全遵守 CA/ 浏览器论坛规则和基本要求。”

Entrust 的一位发言人向The Register发送了一份声明:“作为 CA/B Forum 社区的长期成员,Chrome Root Program 的决定令我们感到失望。我们致力于公共 TLS 证书业务,并正在制定计划,为客户提供连续性。”®

需要帮助吗?联系我们的支持团队 在线客服