Google ha rivelato che non si fiderà più dei certificati digitali emessi da Chunghwa Telecom e Netlock, citando “modelli di comportamento preoccupanti osservati nel corso dell’ultimo anno“.
Si tratta di un cambiamento non indifferente nelle politiche di Google Chrome, il browser storico di Google.
Google Chrome e lo stop a certificazioni dubbie
Queste modifiche saranno introdotte in Google Chrome 139, il cui rilascio pubblico è previsto per l’inizio di agosto 2025. L’attuale versione principale è la 137.
L’aggiornamento interesserà tutti i certificati per l’autenticazione dei server TLS emessi dalle due Autorità di Certificazione (CA) dopo il 31 luglio 2025 alle ore 23:59:59 UTC; i certificati emessi prima di tale data non saranno interessati.
Chunghwa Telecom è il principale fornitore integrato di servizi di telecomunicazione di Taiwan, mentre Netlock è un’azienda ungherese che offre soluzioni di identità digitale, firma elettronica, marcatura temporale e autenticazione.
“Negli ultimi mesi e anni, abbiamo osservato una serie di violazioni della conformità, impegni di miglioramento non mantenuti e l’assenza di progressi concreti e misurabili in risposta ai rapporti sugli incidenti pubblicamente divulgati“, hanno dichiarato il Chrome Root Program e il team di sicurezza di Google Chrome, rimaracando successivamente che: “quando questi fattori vengono considerati nel loro insieme, e confrontati con i rischi intrinseci che ogni CA pubblicamente affidabile rappresenta per Internet, la fiducia pubblica continuativa non è più giustificata.“
Come conseguenza di questo cambiamento, gli utenti del browser Chrome su Windows, macOS, ChromeOS, Android e Linux che visiteranno un sito con un certificato emesso da una delle due CA dopo il 31 luglio, visualizzeranno un avviso di sicurezza a schermo intero.
Si raccomanda agli operatori di siti web che dipendono da queste due CA di utilizzare Chrome Certificate Viewer per verificare la validità dei certificati dei propri siti e di passare a una nuova CA pubblicamente affidabile il prima possibile, per evitare disservizi agli utenti.
Le aziende, tuttavia, possono ignorare queste limitazioni del Chrome Root Store installando il certificato root corrispondente come root attendibile locale sulla piattaforma su cui è in esecuzione Chrome.
Non solo Google con Google Chrome, anche altre aziende come Apple e Mozilla mettono le mani avanti
Non è solo la grande G a non fidarsi più di certe certificazioni dubbie: Apple ha revocato la fiducia al certificato root “NetLock Arany (Class Gold) Főtanúsítvány” a partire dal 15 novembre 2024.
La comunicazione arriva dopo che Google Chrome, Apple e Mozilla hanno deciso di non considerare più affidabili i certificati root firmati da Entrust a partire da novembre 2024. Entrust ha poi venduto la propria attività di certificazione a Sectigo.
Nel marzo di quest’anno, Google ha inoltre rivelato che il CA/Browser Forum ha adottato il Multi-Perspective Issuance Corroboration (MPIC) e il Linting come pratiche obbligatorie nei Requisiti di Base (Baseline Requirements – BR), per migliorare la validazione del controllo sui domini e segnalare pratiche insicure nei certificati X.509.
