Google will Entrust-Zertifikate in Chrome blockieren
Google hat angekündigt, ab dem 1. November 2024 Websites, die Zertifikate von Entrust verwenden, in seinem Chrome-Browser zu blockieren. Als Gründe werden Konformitätsmängel und die Unfähigkeit der Zertifizierungsstelle genannt, Sicherheitsprobleme rechtzeitig zu lösen.
„In den letzten Jahren haben öffentlich bekannt gewordene Berichte über Vorfälle ein besorgniserregendes Verhaltensmuster von Entrust aufgezeigt, das hinter den erwarteten Standards zurückbleibt und das Vertrauen in die Kompetenz, Zuverlässigkeit und Integrität des Unternehmens als Inhaber einer öffentlich vertrauenswürdigen [Zertifizierungsstelle] untergraben hat“, so das Chrome-Sicherheitsteam von Google.
Aus diesem Grund beabsichtigt der Technologieriese, TLS-Serverauthentifizierungszertifikaten von Entrust ab Version 127 des Chrome-Browsers standardmäßig nicht mehr zu vertrauen. Diese Einstellungen können jedoch von Chrome-Nutzern und Unternehmenskunden überschrieben werden, falls sie dies wünschen.
Google betonte weiter, dass Zertifikatsanbieter eine privilegierte und vertrauenswürdige Rolle bei der Sicherstellung verschlüsselter Verbindungen zwischen Browsern und Websites spielen. Das mangelnde Fortschreiten von Entrust bei der Bearbeitung öffentlich gemeldeter Vorfälle und der Umsetzung zugesagter Verbesserungen stelle ein Risiko für das Internet-Ökosystem dar.
Die Sperrmaßnahme wird voraussichtlich die Windows-, macOS-, ChromeOS-, Android- und Linux-Versionen des Browsers betreffen. Eine bemerkenswerte Ausnahme bildet Chrome für iOS und iPadOS, da Apples Richtlinien die Nutzung des Chrome Root Store nicht zulassen. Daher werden Benutzer, die eine Website mit einem von Entrust oder AffirmTrust ausgestellten Zertifikat aufrufen, mit einer eingefügten Meldung gewarnt, dass ihre Verbindung nicht sicher und nicht privat ist.
Die betroffenen Website-Betreiber werden dringend aufgefordert, bis zum 31. Oktober 2024 zu einem öffentlich vertrauenswürdigen Zertifizierungsstelleninhaber zu wechseln, um Störungen zu vermeiden. Laut der Website von Entrust werden Lösungen des Unternehmens unter anderem von Microsoft, Mastercard, VISA und VMware verwendet. „Obwohl Website-Betreiber die Auswirkungen der Sperrmaßnahme verzögern könnten, indem sie vor dem 1. November 2024 ein neues TLS-Zertifikat von Entrust einholen und installieren, werden sie letztlich dennoch ein neues TLS-Zertifikat von einer der vielen anderen Zertifizierungsstellen im Chrome Root Store einholen und installieren müssen,“ so Google.