.

A Mozilla está seguindo os passos do Google Chrome e oficialmente desconfiou da Entrust como autoridade de certificação raiz (CA) após o que ela diz ter sido um longo período de falhas de conformidade.

Há pouco mais de um mês, o Google foi o primeiro a tomar a atitude ousada de deixar de lado a Entrust como CA, dizendo que notou um “padrão de comportamento preocupante” na empresa.

A Entrust pediu desculpas ao Google, à Mozilla e à comunidade da web em geral, descrevendo seus planos para reconquistar a confiança dos navegadores, mas estes parecem ser insatisfatórios tanto para o Google quanto para a Mozilla.

Em um e-mail compartilhado por Ben Wilson, da Mozilla, na quarta-feira, o gerente da loja raiz disse que a decisão não foi tomada levianamente, mas igualmente a resposta da Entrust às preocupações da Mozilla não inspirou confiança de que a situação mudaria materialmente para melhor.

“A Mozilla solicitou anteriormente que a Entrust fornecesse um relatório detalhado sobre esses incidentes recentes e suas causas raízes, uma avaliação das ações recentes da Entrust à luz de seus compromissos anteriores assumidos após incidentes igualmente sérios em 2020 e uma proposta de como a Entrust restabelecerá a confiança da Mozilla e da comunidade”, disse Wilson.

“Embora o relatório atualizado da Entrust tenha feito um esforço para abordar essas questões, os compromissos assumidos no relatório não foram significativamente diferentes dos compromissos anteriores, assumidos em 2020 e quebrados nos incidentes recentes.

“No final das contas, o plano proposto não foi suficiente para restaurar a confiança na operação da Entrust. O restabelecimento da confiança requer uma contabilidade franca e clara das falhas e suas causas raiz, um plano detalhado e confiável de como elas podem ser abordadas e compromissos concretos baseados em critérios objetivos e mensuráveis ​​externamente.”

Wilson também citou um documento separado que reuniu o “número substancial de incidentes de conformidade” na Entrust como motivo de preocupação.

Somente entre março e maio deste ano, a Mozilla registrou 22 incidentes separados, muitos dos quais relacionados a vários atrasos e prazos perdidos.

No entanto, Bruce Morton, diretor de serviços de certificados e Entrust, respondeu diretamente à postagem de Wilson, ecoando seu compromisso anterior de reconquistar a confiança dos principais navegadores.

“Ben, estamos decepcionados com esta decisão, mas queremos reafirmar o comprometimento da Entrust com a execução contínua do nosso plano de melhoria e com o restabelecimento da confiança com a Mozilla e a comunidade Web PKI”, disse ele.

“Também apreciamos seu apoio e endosso ao nosso plano de continuar a operar como um RA delegado por meio de nossa parceria com a SSL.com. Continuaremos a fornecer atualizações aqui em ambas as frentes.”

O que Morton está se referindo aqui é a solução da Entrust para manter a relevância no espaço de CA, que envolve uma parceria com a SSL.com, cujos certificados ainda são confiáveis ​​pelo Chrome e outros, e essencialmente se tornar um revendedor, permitindo que seus clientes permaneçam na empresa caso desejem.

Quando contatamos a Entrust para obter uma resposta, um porta-voz reiterou a resposta de Morton, dizendo que estava decepcionado com a decisão, mas “nossos planos não mudaram. Continuamos comprometidos em atender às necessidades de certificados digitais de nossos clientes e também com nosso papel como Autoridade Certificadora”.

Ele acrescentou: “Estamos satisfeitos que a Mozilla tenha endossado nosso plano de continuar oferecendo aos nossos clientes certificados digitais, agindo como uma Autoridade de Registro para certificados TLS emitidos por nossos parceiros na SSL.com. Ao mesmo tempo, estamos implementando ativa e vigorosamente um plano de melhoria para retornar à aceitação total do navegador.”

Os certificados SSL.com comprados por meio da Entrust ainda exibirão “Entrust” nos navegadores dos clientes e o suporte ao cliente também será gerenciado pela empresa. A SSL.com será apenas o provedor, tornando a Entrust uma autoridade de registro (RA) em vez de uma CA.

No entanto, os clientes já apontaram em várias discussões on-line que o prêmio que a Entrust está cobrando nesses certificados SSL.com é algo para se ver. Por exemplo, um certificado Organization Validation Wildcard – um certificado que protege

4 views Jul 9, 2025
Uma ferramenta de código aberto de US$ 500 permite que qualquer pessoa hackeie chips de computador com lasers Ele era um informante do FBI e inspirou uma geração de extremistas violentos