Google va bloquer les certificats Entrust dans Chrome à partir de novembre 2024

#1 Trusted Cybersecurity News Platform

Google a annoncé qu’il allait commencer à bloquer les sites web qui utilisent des certificats d’Entrust à partir du 1er novembre 2024 dans son navigateur Chrome, citant des manquements à la conformité et l’incapacité de l’autorité de certification à résoudre rapidement les problèmes de sécurité.

Au fil des années, des incidents publiquement divulgués ont mis en lumière des lacunes chez Entrust qui ne répondent pas aux attentes, et ont érodé la confiance en leur compétence, fiabilité et intégrité en tant que propriétaire d’une autorité de certification publiquement digne de confiance, a déclaré l’équipe de sécurité de Chrome de Google.

Dans cette optique, le géant de la technologie a déclaré qu’il n’a plus l’intention de faire confiance par défaut aux certificats d’authentification de serveur TLS d’Entrust à partir des versions 127 et supérieures de Chrome. Cependant, il a précisé que ces paramètres peuvent être outrepassés par les utilisateurs de Chrome et les clients professionnels s’ils le souhaitent.

Google a également souligné que les autorités de certification jouent un rôle privilégié et de confiance dans la garantie de connexions chiffrées entre les navigateurs et les sites web, et que le manque de progrès d’Entrust en ce qui concerne les rapports d’incidents publiquement divulgués et les engagements d’amélioration non réalisés pose des risques pour l’écosystème Internet.

L’action de blocage devrait couvrir les versions Windows, macOS, ChromeOS, Android et Linux du navigateur. L’exception notable est Chrome pour iOS et iPadOS, en raison des politiques d’Apple qui ne permettent pas que le blocage soit utilisé.

En conséquence, les utilisateurs accédant à un site web qui utilise un certificat émis par Entrust ou AffirmTrust seront accueillis par un avertissement indiquant que leur connexion n’est pas sécurisée et n’est pas privée.

Les exploitants de sites web concernés sont invités à passer à un propriétaire d’une autorité de certification publiquement digne de confiance pour minimiser les perturbations d’ici le 31 octobre 2024. Selon le site web d’Entrust, ses solutions sont utilisées par Microsoft, Mastercard, VISA et VMware, entre autres.

Alors que les exploitants de sites web pourraient retarder l’impact de l’action de blocage en choisissant de collecter et d’installer un nouveau certificat TLS émis par Entrust avant le début de l’action de blocage de Chrome le 1er novembre 2024, ils devront inévitablement collecter et installer un nouveau certificat TLS provenant de l’un des nombreux autres AC inclus dans le Chrome Root Store, a déclaré Google.

Source de l’article