6月30日、GoogleはChromeブラウザでEntrustの証明書を2024年11月1日からブロックすることを発表した、とHackerNewsが報じている。これは、Entrustがセキュリティ問題に迅速に対応できないことやコンプライアンスの失敗に起因している。

image.png

GoogleのChromeセキュリティチームは、「過去数年間に公開されたインシデントレポートには、Entrustの行動に関する懸念が繰り返し指摘されており、彼らの能力、信頼性、誠実さに対する信頼が損なわれている」と述べた。このため、GoogleはChromeブラウザのバージョン127以降でEntrustのTLSサーバー認証証明書を信頼しない設定にする意向を示した。ただし、これらの設定はChromeユーザーや企業顧客によって上書きすることができる。

証明書認証局（CA）は、ブラウザとウェブサイト間の暗号化接続を保証する上で特権的かつ信頼された役割を果たしているが、Entrustは公開されたインシデントレポートに対する対応が遅く、改善の約束を果たせていないため、インターネットエコシステムにリスクをもたらすとGoogleは指摘している。

このブロック措置は、Windows、macOS、ChromeOS、Android、およびLinuxバージョンのChromeブラウザに適用される予定だが、AppleのポリシーによりChrome Root Storeの使用が許可されていないため、iOSおよびiPadOS版のChromeは除外される。

結果として、EntrustまたはAffirmTrustが発行する証明書を提供するウェブサイトにアクセスすると、「この接続は安全ではなくプライベートではない」と警告するインタースティシャルメッセージが表示される。影響を受けるウェブサイトの運営者は、2024年10月31日までに公に信頼されている他の証明書認証局に移行することが推奨されている。

Entrustのウェブサイトによると、同社のソリューションはMicrosoft、Mastercard、VISA、VMwareなどで使用されている。Googleは、ウェブサイトの運営者がChromeのブロック措置が開始される前にEntrustから新しいTLS証明書を取得してインストールすることで影響を遅らせることはできるが、最終的にはChrome Root Storeに含まれる他の証明書認証局から新しいTLS証明書を取得してインストールする必要があると述べている。

詳細はGoogle to Block Entrust Certificates in Chrome Starting November 2024を参照していただきたい。