Resumo
- O Google está removendo a Entrust, uma autoridade certificadora, de sua lista confiável devido a um padrão de comportamento que prejudica a confiança em sua competência e confiabilidade.
- A partir de 31 de outubro de 2024, o Chrome não confiará mais nos certificados Entrust por padrão, mas os usuários podem habilitar manualmente a confiança ou navegar pelas telas de aviso.
- Os sites que usam a Entrust, como a MoneyGram e o Departamento de Energia dos EUA, podem precisar mudar de provedor, pois não serem confiáveis pode afetar a confiança e a segurança do usuário.
Desde os primeiros dias da computação, os cientistas da computação reconheceram a necessidade do transporte seguro de informações. Os primeiros protocolos de computador, como o Telnet, transmitiam informações (como nomes de usuários e senhas) pela internet sem criptografia, tornando-as visíveis para qualquer um que quisesse olhar. Esses primeiros protocolos foram substituídos por protocolos mais seguros que dependem de criptografia de chave pública para transportar dados, e uma criptografia de chave pública semelhante é o que a maioria dos sites hoje em dia usa para mover suas informações com segurança entre seus servidores e seu navegador.
Os sites usam certificados digitais para validar sua identidade e fornecer chaves de criptografia públicas que seu navegador pode usar para estabelecer uma conexão segura. Porém, seu navegador não confiará em qualquer certificado. Em vez disso, seu navegador possui uma lista interna de emissores de certificados confiáveis (geralmente chamados de armazenamentos raiz, aqui está o armazenamento raiz do Chrome) com os quais estabelecerá automaticamente uma conexão segura. Hoje, o Google anunciou que está retirando pelo menos um emissor de certificado dessa lista.
Relacionado
Melhores fones de ouvido para correr em 2024
Ajuste, durabilidade, qualidade de som e preço são importantes
Quem leva a bota?
Em uma postagem divulgada hoje no Blog de segurança do Google (localizado por 9to5Google), a empresa destaca a autoridade de certificação (CA) Entrust. Não parece que a Entrust tenha feito apenas uma coisa para entrar na lista de travessuras do Google, mas sim um padrão de comportamento. Para entrar na boa lista do Google, os CAs precisam passar por mais do que alguns obstáculos, e o Google deixa claro em sua postagem no blog que a Entrust “ficou aquém” de suas expectativas. Na verdade, o Google não mede palavras quando diz que as ações da Entrust “destruíram a confiança em sua competência, confiabilidade e integridade como proprietário de CA de confiança pública”. Ai.
O exílio da Entrust dos anais das CAs de elite não ocorrerá imediatamente. Em vez disso, qualquer certificado da Entrust emitido após 31 de outubro de 2024 não será mais confiável para o Chrome, naturalmente. Isso não quer dizer que os usuários do Chrome perderão o acesso a quaisquer sites que usem certificados emitidos pela Entrust; os usuários simplesmente precisarão ativar manualmente a confiança na Entrust ou passar por uma tela de aviso ao visitar um site que usa os certificados da Entrust. Essas alterações afetarão todos os usuários do Chrome, exceto os usuários do iOS.
Por que você deve se preocupar com certificados
Você provavelmente já se deparou com alguns avisos de certificado no seu navegador se passou algum tempo vagando pela web. Na maioria das vezes, não é um grande problema se você for a um desses sites “perigosos” designados pelo navegador, mas você deve estar ciente de que esses sites provavelmente não estão usando criptografia para mover dados entre o servidor e o navegador. Isso significa que se você usar um nome de usuário ou senha em um desses sites não seguros, alguém pode estar escutando e pegando essas informações de você. Em outras palavras, não use nenhuma informação pessoal em um site não seguro. Ter um certificado atualizado também é um sinal de um site que leva a si mesmo e sua segurança a sério.
Relacionado
O que é criptografia ponta a ponta?
Como um aplicativo pode enviar mensagens que só você pode decodificar?
Dado que qualquer site que use o Entrust agora parecerá não confiável, muitos grandes nomes na Internet provavelmente estão lutando para mudar seus provedores de certificados. A Entrust é atualmente usada por sites como MoneyGram e o Departamento de Energia dos EUA, mas a menos que a Entrust consiga fechar um acordo com o Google, é quase certo que eles mudarão de provedor. É importante notar que a Entrust está atualmente na lista de CAs confiáveis do Firefox, mas dado que o Chrome controla mais de 65% do mercado de navegadores, a opinião do Firefox sobre a Entrust provavelmente não mudará o rumo.
Entramos em contato com o Google, a Entrust e a Mozilla para comentar esta história e atualizaremos se eles responderem.
