Vuoi visitare un sito web, magari uno a cui sei abituato ad accedere, e viene visualizzato un messaggio di avviso che ti impedisce di accedervi. Cosa sta succedendo ? Un cambiamento significativo nella politica di sicurezza di Chrome creerà presto questo tipo di situazioni.
Google annuncia che il suo browser Chrome non supporterà più i certificati di sicurezza pubblicati da Entrust e AffirmTrust. A partire dal 1° novembre 2024, i certificati di autenticazione TLS di queste due entità non saranno più considerati attendibili per impostazione predefinita.
“Negli ultimi anni, le segnalazioni di incidenti divulgate pubblicamente hanno evidenziato un modello di comportamento preoccupante da parte di Entrust”, riferisce il team di sicurezza di Chrome. I processi dell’autorità di certificazione non soddisfano più i requisiti di sicurezza dell’azienda di Mountain View, il che spiega che la fiducia nella sua competenza, affidabilità e integrità è stata erosa.
Chrome rivoluziona la gestione dei certificati di sicurezza
“Gli enti certificatori svolgono un ruolo privilegiato su Internet, perché garantiscono connessioni crittografate tra browser e siti web”ricorda Google, che ritiene che tale responsabilità porti aspettative “in termini di sicurezza e conformità, in particolare quelli definiti dai requisiti TLS”.
“Negli ultimi sei anni, abbiamo assistito a modelli di non conformità, impegni di miglioramento non mantenuti e mancanza di progressi tangibili e misurabili in risposta alle segnalazioni di incidenti”si rammarica di Google. “La continua dipendenza di Chrome da Entrust non è più giustificata”conclude l’azienda americana.
Il blocco dei certificati di sicurezza emessi da Entrust e AffirmTrust sarà efficace su Chrome 127 e versioni successive del browser su quasi tutti i media: Windows, macOS, ChromeOS, Android e Linux (iOS vieta l’uso di Chrome Certificate Verifier e Chrome Root Store).
Gli utenti, tuttavia, avranno la possibilità di riattivare manualmente i certificati vietati nelle impostazioni di Chrome, a proprio rischio. Se scegli di mantenere le opzioni predefinite, non sarai più in grado di accedere ai siti Web che distribuiscono un certificato emesso da Entrust o AffirmTrust dopo il 31 ottobre 2024. Verrà quindi visualizzata una schermata di avviso come nello screenshot seguente.
