Perguntas Frequentes Sobre o fim da Confiança na Entrust

Ao anunciar a sua decisão, o Google afirmou:

"Nos últimos anos, relatórios de divulgação de incidentes públicos destacaram um padrão de comportamentos preocupantes da Entrust que não atendem às expectativas, o que diminuiu a confiança em sua competência, confiabilidade e integridade como proprietário de uma CA com confiança pública".

e

"As autoridades de certificação (CAs) desempenham uma função privilegiada e confiável na Internet que sustenta conexões criptografadas entre navegadores e sites. Com essa imensa responsabilidade, vem uma expectativa de cumprimento de diretrizes de segurança e conformidade razoáveis e amplamente aceitas, incluindo aquelas definidas pelos Requisitos de linha de base de TLS do CA/Browser.

Nos últimos seis anos, observamos um padrão de falhas de conformidade, compromissos de melhoria não cumpridos e a ausência de progresso mensurável e tangível em resposta a relatórios de incidentes públicos. Considerando esse conjunto de fatores e o risco inerente que cada CA com confiança pública apresenta ao ecossistema da Internet, é nossa opinião que a confiança contínua do Chrome na Entrust não é mais justificada".

A partir do lançamento estável do Google Chrome em 11 de novembro, que todos os usuários do Chrome vão acabar instalando, os certificados TLS públicos emitidos com raízes Entrust e um carimbo de data/hora de certificado assinado (SCT) datado a partir de 11 de novembro de 2024 não terão mais a confiança do Chrome.

Qualquer certificado TLS da Entrust com um SCT datado de ou antes de 11 de novembro de 2024 será válido até o fim do prazo. No entanto, se você modificar, reatribuir as chaves ou renovar esse certificado, ele deixará de ser confiável. 

A Apple publicou um documento de suporte em 2024 listando algumas autoridades de certificação e raízes que perderiam a confiança para novas emissões a partir de certas datas. Muitos certificados raiz da Entrust têm a data de 15 de novembro de 2024 especificada para o fim da confiança. Certificados para TLS, S/MIME, carimbo de data/hora e BIMI (Brand Indicator for Message Identification) são afetados. 

Note que os certificados afetados ainda estão na lista de raízes confiáveis da Apple porque certificados emitidos com essas raízes antes de 15 de novembro de 2024 ainda são confiáveis. A Apple aplica lógica separada, removendo a confiança apenas dos certificados emitidos após a data especificada. 

A Apple não especifica os produtos afetados, mas todos os seus produtos precisam usar o seu armazenamento de raízes, e por isso é razoável imaginar que todos os clientes de PKI são afetados, incluindo Safari, Apple Mail e aplicativos para iOS ou iPadOS.

A Mozilla anunciou que deixará de confiar nos certificados raiz da Entrust a partir da nova emissão em 1 de dezembro de 2024. Qualquer certificado TLS da Entrust com um SCT datado de ou antes de 30 de novembro de 2024 será válido até o fim da sua validade. No entanto, se você modificar, reatribuir as chaves ou renovar esse certificado em 1 de dezembro ou depois disso, ele deixará de ter a confiança do Firefox. 

A Microsoft não fez qualquer anúncio sobre o assunto.

Recomendamos que os clientes comecem a planejar a sua estratégia de substituição assim que possível, com um inventário preciso dos seus certificados. Você pode já estar enfrentando problemas devido à ausência de confiança. Esses esforço envolve entender quando cada certificado vai expirar, avaliar o perfil de risco do serviço associado e planejar o processo de substituição. Entre em contato conosco hoje mesmo  para dar início ao seu plano de migração.

Diversas ferramentas podem se conectar à sua infraestrutura para encontrar os certificados do seu ambiente. Se for um cliente da Entrust, verifique o console da Entrust em busca de ferramentas que podem ajudar você.

Clientes da DigiCert podem usar o DigiCert^® Trust Lifecycle Manager (TLM) e o DigiCert CertCentral^® para avaliar o seu ambiente e identificar quaisquer certificados da Entrust que precisam de substituição. Fale conosco se precisar de ajuda na verificação e descoberta.

Receber novos certificados é rápido e fácil, desde que você responda a tempo. Precisamos validar o seu domínio, o que leva segundos, e depois validar a sua organização, o que pode ser feito em alguns minutos. O processo inteiro para você receber novos certificados pode ser concluído muito rapidamente na maioria dos casos.

A Validação de organização (OV) vale por dois anos. Após ter a validação da DigiCert, você só precisa completar a Validação de domínio (DV), o que significa que solicitações de certificado posteriores serão ainda mais rápidas.

Não, a DigiCert precisa realizar o seu próprio processo de validação para poder substituir os seus certificados de Validação de organização ou Validação estendida (EV) da Entrust.

Sim, para um certificado de Validação de domínio (DV), validamos apenas o domínio, o que leva segundos. Isso exige que você realize ações rápidas e simples.

Existem três princípios que diferenciam a DigiCert e o nosso negócio de Autoridade de Certificação (CA) como um provedor líder de confiança digital.

Primeiro, seguimos processos bem definidos e usamos ferramentas desenvolvidas especificamente para atenuar riscos, como o PKILint.

Em segundo lugar, trabalhamos com o CA/Browser Forum para reagir com transparência e rapidez diante de problemas, agindo rápido para resolvê-los.

Terceiro, somos um participante ativo dos órgãos de definição de padrões, garantindo não só a conformidade com eles, mas também a sua evolução para o benefício do setor.

Acreditamos que nunca houve um risco de a DigiCert perder a confiança durante esse incidente, porque informamos o problema assim que o identificamos e trabalhamos junto aos clientes e aos fornecedores dos principais navegadores para garantir a substituição dos certificados afetados segundo os prazos exigidos.

No seu anúncio do fim da confiança na Entrust, o Google afirmou “Quando algo não funciona, esperamos que os proprietários das CAs se comprometam com mudanças significativas e demonstráveis que tragam melhorias contínuas comprovadas”. A DigiCert dedicou todos os esforços para fazer as mudanças o mais rapidamente possível, trabalhando ao lado do grupo Chrome e de outros fornecedores de navegador para corrigir o erro de forma colaborativa, com o mínimo de interrupção para os nossos clientes.

O CA/B Forum não toma decisões de confiança/ausência de confiança em CAs. Essas decisões são tomadas por fornecedores de aplicativos que usam certificados, que são fornecedores de grande porte (especialmente o Google Chrome).

O fórum Bugzilla (no Programa de CAs), onde essas questões são debatidas, é aberto e público. Tenha cuidado com alegações individuais feitas no fórum, porque as pessoas discordam e normalmente leva tempo para que haja consenso entre os participantes.

Apenas os certificados TLS vinculados a certificados raiz da Entrust foram afetados, e apenas aqueles emitidos em ou após 12 de novembro de 2024.

O anúncio da Apple se concentra no fim da confiança de certificados raiz da Entrust para TLS, S/MIME, carimbo de data/hora e BIMI (Brand Indicator for Message Identification), que também é conhecido como Verified Mark Certificate. Veja o anúncio para conhecer a lista dos certificados raiz específicos que perderam a confiança e para quais funções.  

No entanto, imagine que você quer substituir outros produtos de certificados da Entrust. Nesse caso, a DigiCert também oferece soluções para gerenciar S/MIME, assinatura de código, assinatura de documento, certificados Verified/Mark Certificates e outros tipos de segurança de certificados baseada em PKI.

O DigiCert Trust Lifecycle Manager acomoda a PKI empresarial em escala, trabalhando com a sua infraestrutura existente. O Trust Lifecycle Manager permite descobrir certificados emitidos por qualquer fonte de TLS/SSL, e não só os da DigiCert ou Entrust. Oferecemos automação para PKI pública e privada, e o Trust Lifecycle Manager fornece uma plataforma segura para o gerenciamento da força de trabalho para que você possa implementar controles de acesso baseados em função com facilidade.

A DigiCert oferece incentivos para alguns clientes afetados por esse evento. Entre em contato para saber mais detalhes.

Se você tiver sido afetado, os usuários das versões atuais do Chrome, Safari e Firefox verão erros ao tentar acessar os seus sites. Se não souber quais certificados tem ou quem os emitiu, realize um inventário dos seus ativos criptográficos. A DigiCert pode ajudar você a criar um inventário. Entre em contato conosco aqui para receber um plano de migração personalizado ou para obter ajuda usando o nosso novo Entrust Discovery Connector.

Não existe qualquer problema imediato com os certificados TLS da Entrust emitidos antes de 12 de novembro. Entretanto, conforme os certificados expirarem, você precisará substituí-los por certificados TLS de uma autoridade de certificação com confiança pública, como a DigiCert.

Os anúncios do Chrome e Firefox só mencionam o fim da confiança para os certificados TLS da Entrust. O anúncio da Apple especifica o fim da confiança para certificados raiz da Entrust para TLS, S/MIME, carimbo de data/hora e BIMI (Brand Indicator for Message Identification). Veja o anúncio da Apple para conhecer a lista dos certificados raiz específicos que perderam a confiança e para quais funções.

Somente o Google e o Mozilla informaram o fim da confiança na Entrust.

A decisão dos programas de raiz do Google e Mozilla se aplicam a certificados TLS públicos emitidos com raízes da Entrust e um carimbo de data/hora de certificado assinado (SCT) datado a partir de 11 de novembro de 2024. Atualmente, a decisão não afeta outros certificados públicos, como assinatura de código ou S/MIME, emitidos pela Entrust. 

Consulte um advogado.

Trabalhe com um fornecedor que tenha experiência em ajudar os clientes a migrarem durante um evento de fim de confiança. Um primeiro passo comum é listar todos os seus ativos criptográficos. Depois, você pode determinar o que precisa ser abordado imediatamente e planejar outras mudanças e melhorias que devem ser feitas.

Sim. A partir de 12 de novembro, se você modificar, reatribuir chaves ou renovar um certificado TLS da Entrust, o novo certificado não será considerado confiável. 

A DigiCert oferece um premiado suporte ao vivo, personalização e representação para facilitar a emissão, o gerenciamento e a mitigação em todo o ciclo de vida dos certificados. A DigiCert é mais conhecida pelo suporte e por trabalhar de forma a atender a todas as necessidades de certificados do cliente. A Let's Encrypt atende a uma importante finalidade, mas não fornece todos os tipos de certificado, um console de gerenciamento, suporte técnico ao vivo ou serviços de apoio sofisticados, como o gerenciamento do ciclo de vida dos certificados. Você pode gerenciar todos os seus certificados da DigiCert usando o CertCentral ou o Trust Lifecycle Manager para certificados emitidos por outras autoridades de certificação.

Sim, mas existe pelo menos uma solução alternativa publicada. Citando o anúncio de fim de confiança do Chrome:

A partir do Chrome 127, as empresas podem contornar as restrições do armazenamento de raízes do Chrome como aquelas descritas para a Entrust nesta publicação do blog instalando o certificado correspondente de CA de raiz como uma raiz com confiança local na plataforma em que o Chrome é executado (por exemplo, instalado no Microsoft Certificate Store como uma CA de raiz confiável).

O Chrome no Android usa o armazenamento de raízes do Chrome, portanto é afetado pelo fim da confiança. É importante lembrar que, como ocorre com todo software para iOS, o Chrome no iOS precisa usar os armazenamentos de raiz da Apple e, portanto, ele não necessariamente será afetado. No entanto, o Chrome já bloqueou raízes em código antes, e o Google remarcou o dia do fim da confiança para 12 de novembro a fim de coincidir com o lançamento de uma versão do Chrome. Isso pode sugerir que irão bloquear as raízes no código daquela atualização.

Se a Apple deixar de confiar na Entrust, isso afetará todos os dispositivos iOS e MacOS.

É isso mesmo. Atualmente, o fim da confiança se limita à PKI da Web. As CAs governamentais são separadas e não são diretamente afetadas.

Sim, o DigiCert Trust Lifecycle Manager obtém o inventário da sua conta com a Entrust e permite que você receba um novo certificado da DigiCert. Ele também permite automatizar a instalação e a renovação de diversos sistemas e serviços.