Google Chrome將從11月起不再信任Entrust CA憑證原因是其出現多次問題
創立於1994 年的美國私人軟體公司Entrust 頒發的數位憑證將在Google和謀智基金會除名,目前Google已經發布消息稱從2024 年11 月1 日起,Chrome 127 及後續版本均不再信任Entrust 或其關聯公司AffirmTrust 新簽發的憑證。
儘管Firefox瀏覽器什麼時候停止信任暫時還沒有明確消息,不過本身提議廢掉Entrust 憑證就是Mozilla 長期在討論的,所以Firefox 大概率會在類似事件也停止信任Entrust 憑證。
需要強調的是對於現有憑證無論是Chrome 還是Firefox 都將繼續提供信任,而11 月1 日之後新簽發的憑證才會被作廢,到時候瀏覽器將預設阻止用戶開啟此類網頁。
以Google Chrome 為例:
當網站使用11 月1 日及之後由Entrust 簽發的TLS 憑證時,Chrome 載入網頁時將提示您的連線不是私密的以及給予錯誤代碼ERR_CERT_AUTHORITY_INVALID (即憑證簽發者錯誤)。
這種情況下使用者仍然可以點擊進階然後繼續載入網站,而Chrome 網址列也將顯示紅色感嘆號用來標記此網站的HTTPS 連線存在問題。
為什麼要停止信任Entrust:
Google在部落格中並未直接說明停止信任的詳細原因,但強調Entrust 近年來出現多次問題,相關連結指向Mozilla Bugzilla的討論專題中。
從這個專題中可以看到Entrust 簽發的憑證有各種奇奇怪怪的問題,例如OCSP 不符合BR 標準、頒發的憑證ST 欄位中帶有連字符、無法撤銷OV TLS -CPS 中的錯誤訊息、CPS更新延遲、仍使用SHA-1 簽章的OCSP 回應等。
相較於以前被停止信任的ROOT CA 簽發錯誤證書或故意簽發錯誤證書,Entrust 似乎沒出現過這類問題,但各種安全基礎設施出現的這些問題已經讓業界無法信任這個安全機構。
通常情況下討論這些問題時CA 廠商也會參與,顯然Entrust 至今沒有徹底解決這些問題才會讓Google和Mozilla 徹底失望,不如直接停止信任算了。
基本上等於判了死刑:
對ROOT CA 來說,如果Chrome 和Firefox 停止信任,那麼這個公司簽發的證書基本上就是廢紙,畢竟Chrome、Chromium 陣營以及Firefox 佔據著瀏覽器市場的絕對主力。
後續蘋果估計也會在Safari 中撤銷Entrust 證書,到時候Entrust 的TLS 證書業務會徹底癱瘓,要嘛程式碼簽章憑證可能還能用,這取決於微軟是否會撤銷Entrust 的憑證。
多年前知名安全公司賽門鐵克就因為存在一系列證書問題而被主流瀏覽器停止信任,以此事為開端,之後賽門鐵克關閉或出售CA 業務、自己的安全業務也別多次出售,現在賽門鐵克幾乎變成業界小透明了。