Chrome disconosce i certificati digitali Entrust: cosa significa e quali sono le conseguenze

Un’Autorità di Certificazione (CA) è un’entità di fiducia che emette certificati digitali. Questi certificati sono utilizzati per confermare l’identità di siti Web e consentire connessioni sicure tramite protocollo HTTPS. Utilizzando modalità di verifica diverse, a seconda della tipologia di certificato, le CA verificano le identità dei richiedenti prima di emettere un nuovo certificato.

Le CA devono rispettare rigorosi standard di sicurezza e conformità, poiché un certificato compromesso potrebbe mettere a rischio la sicurezza degli utenti e delle loro informazioni.

I browser mantengono aggiornato un elenco di CA di cui si fidano, noto come Root Store. Quando un browser incontra un certificato emesso da una CA, verifica che la CA sia presente nel proprio Root Store. Se il certificato è valido e la CA è attendibile, la connessione viene stabilita in modo sicuro.

Google entra a gamba tesa: dal 1° novembre non riconoscerà più i nuovi certificati digitali Entrust

In un lungo post pubblicato sul blog dell’azienda, Google ha annunciato che dal 1° novembre 2024 Chrome non riconoscerà più di default i certificati TLS emessi da Entrust dopo il 31 ottobre 2024. La società di Mountain View racconta che la decisione è stata presa a causa di una serie di problemi legati alla fiducia e all’affidabilità di Entrust come autorità di certificazione.

Google mette nero su bianco che Entrust avrebbe ripetutamente evidenziato problemi nel rispettare le normative di sicurezza e conformità richieste per le autorità di certificazione. Inoltre, la CA in questione non sarebbe riuscita ad applicare contromisure adeguate, mostrando una certa inerzia nel risolvere i problemi segnalati pubblicamente. L’azienda guidata da Sundar Pichai, a riprova delle sue affermazioni, cita il report di Mozilla con le segnalazioni raccolte nel tempo.

A partire da Chrome 127, tutti i certificati di autenticazione firmati da Entrust dopo il 31 ottobre 2024 non saranno più considerati attendibili. La misura sarà automaticamente applicata su tutte le principali piattaforme: Windows, macOS, ChromeOS, Android e Linux.

L’intervento non riguarderà invece Chrome per iOS perché Apple non permette l’uso di liste di root CA personalizzate, come il “Chrome Certificate Verifier” e il “Chrome Root Store“.

Il vostro sito è interessato dal blocco imposto da Google?

Da qui a fine ottobre 2024, è importante verificare la CA che ha emesso il certificato digitale usato sul proprio sito Web. Anche se, come riportato in precedenza, il blocco riguarderà solamente i certificati TLS emessi da Entrust dopo il 31 ottobre prossimo, Google suggerisce comunque di appoggiarsi a un’altra CA.

Se si utilizza Chrome o un browser derivato da Chromium, è importante cliccare sul pulsante che si trova a sinistra dell’URL del sito Web, nella barra degli indirizzi, quindi scegliere La connessione e sicura, Il certificato è valido. Qualora nella sezione Emesso da, in corrispondenza di Organizzazione (O), si leggesse Entrust o AffirmTrust, è richiesto l’intervento dell’amministratore del nome di dominio.

Il rapporto tra browser e CA è cruciale per la sicurezza online. Le CA devono mantenere standard elevati per garantire che le connessioni tra i browser e i siti Web siano sicure e affidabili. La decisione di Google di interrompere la fiducia nei certificati di Entrust evidenzia l’importanza della conformità e della responsabilità nel mantenere un ecosistema Internet sicuro.

Google, come altri “big” del settore, ha aspramente criticato il progetto europeo legato all’introduzione dei certificati digitali QWAC: la loro adozione, prevista nel regolamento eIDAS 2.0, potrebbe far balzare indietro la sicurezza sul Web di almeno 12 anni.

L’immagine in apertura è tratta dalla home page di Google Chrome.