Mozilla vai deixar de confiar em certificados da Entrust
Depois do Google Chrome ter começado a deixar de confiar nos certificados da Entrust, agora a mesma medida vai começar a ser aplicada também pela Mozilla no Firefox.
Faz pouco mais de um mês que a Google foi uma das primeiras entidades a deixar de considerar os certificados da Entrust como fiáveis. Na altura, a empresa indicou que a medida teria sido tomada depois de vários padrões preocupantes por parte da entidade na emissão de certificados SSL, além de várias falhas no processo.
A Entrust já tinha deixado em comunicado um pedido de desculpas, para evitar que o problema se agravasse, porém este parece não ser suficiente, sendo que agora também o Firefox vai seguir a mesma ideia.
A Mozilla afirma que a decisão de deixar de confiar nos certificados da Entrust não foi realizada de forma leviana, mas a resposta da Entrust à situação também não terá ajudado. A entidade considera que a CA não aparenta ter planos a longo prazo para resolver os problemas.
“Anteriormente, a Mozilla solicitou à Entrust que fornecesse um relatório detalhado sobre estes incidentes recentes e as suas causas principais, uma avaliação das ações recentes da Entrust à luz dos compromissos assumidos após incidentes igualmente graves em 2020, e uma proposta de como a Entrust irá restabelecer a confiança da Mozilla e da comunidade,” afirma a Mozilla.
“Embora o relatório atualizado da Entrust tenha tentado abordar estas questões, os compromissos apresentados no relatório não foram significativamente diferentes dos compromissos anteriores que foram assumidos em 2020 e quebrados nos incidentes recentes.”
“Em última análise, o plano proposto não foi suficiente para restaurar a confiança na operação da Entrust. Restabelecer a confiança exige uma avaliação sincera e clara das falhas e das suas causas principais, um plano detalhado e credível sobre como podem ser resolvidas, e compromissos concretos baseados em critérios objetivos e mensuráveis externamente.”
Entre Março e Maio deste ano, a Mozilla registou pelo menos 22 incidentes com a Entrust, que causaram graves atrasos e falhas. Apesar disso, a Entrust apenas reverte para a mensagem anteriormente enviada quando a Google começou a não classificar os seus certificados como seguros.
A Mozilla deve deixar de confiar nos certificados Entrust a 30 de Novembro de 2024. Nesta altura, o Firefox deverá começar a considerar sites com o mesmo como “inseguros” na navegação, com mensagens de erro associadas ao certificado SSL.