.
A Mozilla está seguindo os passos do Google Chrome e oficialmente desconfiou da Entrust como autoridade de certificação raiz (CA) após o que ela diz ter sido um longo período de falhas de conformidade.
Há pouco mais de um mês, o Google foi o primeiro a tomar a atitude ousada de deixar de lado a Entrust como CA, dizendo que notou um “padrão de comportamento preocupante” na empresa.
A Entrust pediu desculpas ao Google, à Mozilla e à comunidade da web em geral, descrevendo seus planos para reconquistar a confiança dos navegadores, mas estes parecem ser insatisfatórios tanto para o Google quanto para a Mozilla.
Em um e-mail compartilhado por Ben Wilson, da Mozilla, na quarta-feira, o gerente da loja raiz disse que a decisão não foi tomada levianamente, mas igualmente a resposta da Entrust às preocupações da Mozilla não inspirou confiança de que a situação mudaria materialmente para melhor.
“A Mozilla solicitou anteriormente que a Entrust fornecesse um relatório detalhado sobre esses incidentes recentes e suas causas raízes, uma avaliação das ações recentes da Entrust à luz de seus compromissos anteriores assumidos após incidentes igualmente sérios em 2020 e uma proposta de como a Entrust restabelecerá a confiança da Mozilla e da comunidade”, disse Wilson.
“Embora o relatório atualizado da Entrust tenha feito um esforço para abordar essas questões, os compromissos assumidos no relatório não foram significativamente diferentes dos compromissos anteriores, assumidos em 2020 e quebrados nos incidentes recentes.
“No final das contas, o plano proposto não foi suficiente para restaurar a confiança na operação da Entrust. O restabelecimento da confiança requer uma contabilidade franca e clara das falhas e suas causas raiz, um plano detalhado e confiável de como elas podem ser abordadas e compromissos concretos baseados em critérios objetivos e mensuráveis externamente.”
Wilson também citou um documento separado que reuniu o “número substancial de incidentes de conformidade” na Entrust como motivo de preocupação.
Somente entre março e maio deste ano, a Mozilla registrou 22 incidentes separados, muitos dos quais relacionados a vários atrasos e prazos perdidos.
No entanto, Bruce Morton, diretor de serviços de certificados e Entrust, respondeu diretamente à postagem de Wilson, ecoando seu compromisso anterior de reconquistar a confiança dos principais navegadores.
“Ben, estamos decepcionados com esta decisão, mas queremos reafirmar o comprometimento da Entrust com a execução contínua do nosso plano de melhoria e com o restabelecimento da confiança com a Mozilla e a comunidade Web PKI”, disse ele.
“Também apreciamos seu apoio e endosso ao nosso plano de continuar a operar como um RA delegado por meio de nossa parceria com a SSL.com. Continuaremos a fornecer atualizações aqui em ambas as frentes.”
O que Morton está se referindo aqui é a solução da Entrust para manter a relevância no espaço de CA, que envolve uma parceria com a SSL.com, cujos certificados ainda são confiáveis pelo Chrome e outros, e essencialmente se tornar um revendedor, permitindo que seus clientes permaneçam na empresa caso desejem.
Quando contatamos a Entrust para obter uma resposta, um porta-voz reiterou a resposta de Morton, dizendo que estava decepcionado com a decisão, mas “nossos planos não mudaram. Continuamos comprometidos em atender às necessidades de certificados digitais de nossos clientes e também com nosso papel como Autoridade Certificadora”.
Ele acrescentou: “Estamos satisfeitos que a Mozilla tenha endossado nosso plano de continuar oferecendo aos nossos clientes certificados digitais, agindo como uma Autoridade de Registro para certificados TLS emitidos por nossos parceiros na SSL.com. Ao mesmo tempo, estamos implementando ativa e vigorosamente um plano de melhoria para retornar à aceitação total do navegador.”
Os certificados SSL.com comprados por meio da Entrust ainda exibirão “Entrust” nos navegadores dos clientes e o suporte ao cliente também será gerenciado pela empresa. A SSL.com será apenas o provedor, tornando a Entrust uma autoridade de registro (RA) em vez de uma CA.
No entanto, os clientes já apontaram em várias discussões on-line que o prêmio que a Entrust está cobrando nesses certificados SSL.com é algo para se ver. Por exemplo, um certificado Organization Validation Wildcard – um certificado que protege vários nomes de subdomínio vinculados ao mesmo domínio base (usando um caractere curinga * no campo de nome de domínio) – custa US$ 299 comprado diretamente da SSL.com se comprar apenas por um ano, enquanto comprar o mesmo certificado pela Entrust custa US$ 799.
Sobre essa mudança, Wilson disse: “Apoiamos esse acordo, reconhecendo que a SSL.com, como operadora da CA raiz dentro do programa de CA raiz da Mozilla, será responsável pela validação de domínio, emissão e revogação de certificados e, finalmente, por quaisquer incidentes que possam ocorrer.”
A Mozilla deixará oficialmente de confiar em certificados emitidos pela Entrust após 30 de novembro de 2024. Qualquer certificado emitido antes disso continuará sendo confiável, mas qualquer certificado emitido depois não será mais, a menos que tenha sido adquirido da SSL.com via Entrust.
“Esperamos que a Entrust trabalhe para abordar as causas raiz desses incidentes e, assim, eventualmente, restabelecer a confiança em suas políticas e processos internos, suas ferramentas e tecnologia, e seu comprometimento com a comunidade Web PKI”, acrescentou Wilson.
O corte do Google é um mês antes do da Mozilla – qualquer certificado emitido depois de 31 de outubro não será confiável pelo Chrome 127.
“As autoridades de certificação desempenham um papel privilegiado e confiável na internet, que sustenta conexões criptografadas entre navegadores e sites”, disse o Google no mês passado. “Com essa tremenda responsabilidade, vem a expectativa de aderir a expectativas de segurança e conformidade razoáveis e orientadas por consenso, incluindo aquelas definidas pelos Requisitos de Base CA/Browser TLS.
“Nos últimos seis anos, observamos um padrão de falhas de conformidade, compromissos de melhoria não cumpridos e a ausência de progresso tangível e mensurável em resposta a relatórios de incidentes divulgados publicamente. Quando esses fatores são considerados em conjunto e considerados em relação ao risco inerente que cada CA publicamente confiável representa para o ecossistema da internet, é nossa opinião que a confiança contínua do Chrome na Entrust não é mais justificada.” ®
.
