Google ChromeがEntrust証明書を2024年11月からデフォルトでブロックすることに

Googleが、CA(認証局)として証明書の発行を手がけるセキュリティ企業「Entrust」が、認証局オーナーとしての能力、信頼性、および完全性に対する信頼を損なったとして、2024年10月31日以降に発行されるEntrust証明書をGoogle Chromeはデフォルトで受け入れずブロックする方針であることを明らかにしました。

Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust
https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html

Google cuts ties with Entrust in Chrome over trust issues • The Register
https://www.theregister.com/2024/06/28/google_axes_entrust_over_six/

Googleは「認証局」について、「ブラウザとウェブサイトの間の暗号化された接続を支える、インターネット上の特権的で信頼できる役割を果たす」存在だと述べ、非常に重い責任を担うにあたり、「合理的で合意に基づくセキュリティとコンプライアンスの要求に従うことが期待される」と表現しています。

しかし、Googleは、Entrustがこの6年にわたり「法令順守の不履行」「改善目標の未達成」「公表されたインシデント報告に対する、具体的で測定可能な進捗の欠如」などを重ねており、「公的に信頼された各認証局が、インターネットのエコシステムにもたらす固有のリスクに照らして考えると、Google ChromeがEntrustを信頼し続けることに、もはや根拠はない」と厳しく指摘。

Google Chrome 127以降では、Entrustの署名済み証明書タイムスタンプが2024年10月31日以降のTLSサーバー認証証明書をデフォルトで信頼しないことが決まりました。ブロック措置は2024年11月1日以降に順次、Windows、macOS、ChromeOS、Android、Linuxに適用されます。

なお、iOS版が入っていないのは、Appleのポリシーにより、独自のルートCA一覧である「Chrome Certificate Verifier」および「Chrome Root Store」の利用が禁止されているからだとのことです。