Google deja de confiar en certificados TLS de entrust: Miles de sitios web tienen hasta noviembre para adaptarse

A partir del 1 de noviembre de 2024, Google Chrome dejará de confiar en los certificados TLS emitidos por Entrust y AffirmTrust, una medida que afectará a miles de sitios web y busca fortalecer la seguridad y privacidad de los usuarios del navegador. 

Andalucía, 05/07/2024

Google ha anunciado un cambio importante en la seguridad de Chrome que afectará a miles de sitios web. A partir del 1 de noviembre de 2024, Chrome 127 y versiones posteriores ya no confiarán en los certificados TLS emitidos por Entrust y AffirmTrust después del 31 de octubre de 2024. Esta decisión se debe a una serie de incidentes que han erosionado la confianza en la competencia, fiabilidad e integridad de estas autoridades de certificación. 

Entrust, una autoridad de certificación con casi tres décadas de trayectoria y clientes importantes como MasterCard, Dell y Chase Bank, ha estado bajo escrutinio. Google ha declarado que la medida busca proteger a los usuarios de Chrome, afirmando que la respuesta de Entrust a los incidentes públicos no ha cumplido con las expectativas, lo que ha erosionado la confianza en ellos como propietarios de CA de confianza pública. 

La medida de Google no se realizará de manera inmediata; se dará un margen de tiempo para que los sitios web afectados cambien de proveedor. Hasta esa fecha, los certificados emitidos por Entrust y AffirmTrust antes del 31 de octubre de 2024 seguirán siendo válidos. Sin embargo, los certificados emitidos después de esa fecha ya no serán de confianza por defecto, y los usuarios verán advertencias de seguridad al intentar acceder a estos sitios web 

Mozilla también ha tenido problemas con Entrust, señalando varios incidentes que llevaron a una respuesta detallada y compromisos de mejora por parte de Entrust. En un informe publicado en junio, Entrust admitió errores y anunció planes para mejorar su cumplimiento y gobernanza, incluyendo la creación de un comité de control de cambios y una revisión de sus políticas de respuesta a incidentes. 

Para los usuarios de Chrome, esto significa que deberán estar atentos a las advertencias de seguridad y los administradores de sitios web deberán asegurarse de que sus certificados sean confiables. Google ha recomendado a los operadores de sitios web que cambien a otro proveedor de certificados lo antes posible para evitar interrupciones. Los usuarios aún podrán confiar manualmente en estos certificados si es necesario, pero la advertencia general es clara: se deben tomar medidas proactivas para garantizar la seguridad y la funcionalidad continuas de los sitios web. 

En resumen, Google está tomando medidas drásticas para asegurar la seguridad y privacidad de los usuarios de Chrome, instando a los sitios web a adaptarse a estos cambios en los próximos meses para evitar cualquier riesgo de seguridad.