Pengumuman baru-baru ini mengenai ketidakpercayaan Google Chrome terhadap Entrust telah menyebabkan isu yang kuat dan signifikan pada sejumlah besar organisasi.
Selama beberapa bulan terakhir, Entrust telah mengalami serangkaian ketidaksesuaian dengan persyartan forum browser yang berkepanjangan dan mengakibatkan keterlambatan pencabutan sertifikat (Certificate Revocation).
Sebagai akibat dari insiden ini dan sebelumnya, Google Chrome mengumumkan bahwa mereka tidak mempercayai Entrust Public Root yang dikeluarkan pada sertifikat SSL setelah 31 Oktober 2024.
Pernyataan Resmi dari Google
“Over the past six years, we have observed a pattern of compliance failures, unmet improvement commitments, and the absence of tangible, measurable progress in response to publicly disclosed incident reports…. Chrome’s continued trust in Entrust is no longer justified.”
Blog Keamanan Google menyatakan “Selama enam tahun terakhir, kami telah mengamati pola kegagalan dalam memenuhi persyaratan khusus dari forum browser, komitmen perbaikan yang tidak terpenuhi, dan tidak adanya kemajuan nyata dan terukur dalam menanggapi laporan insiden yang diungkapkan secara publik…. Kepercayaan Chrome pada Entrust sudah tidak lagi dibenarkan.”
Alasan agar CA dipercaya oleh browser
- CA harus mematuhi persyaratan khusus yang ditentukan oleh CA/Forum Browser.
- Untuk memastikan kepercayaan yang konsisten dan berkelanjutan, maka browser harus menerima laporan audit rutin tentang operasi dan kesesuaian dengan aturan/syarat forum browser (Operation and Compliance) dari CA.
- Transparansi adalah aturannya. CA diharapkan bekerja dengan itikad baik dengan browser untuk memperbaiki dan mencegah masalah.
- Baru-baru ini, program root menunjukkan kurangnya kepercayaan terhadap praktik penerbitan sertifikat TLS di Entrust.
Artinya
Sertifikat TLS publik yang dikeluarkan dari Root Entrust dengan Signed Certificate Timestamp SCT-nya paling awal setelah 31 Oktober 2024 tidak akan valid lagi di Google Chrome.
Situs/web yang menggunakan sertifikat Entrust tersebut akan diperlakukan sebagai situs yang tidak aman.
Sertifikat TLS apa pun dengan SCT tertanggal sebelum 1 November 2024 akan berlaku selama masa berlakunya.
Diperlukan tindakan segera untuk pelanggan yang menggunakan Sertifikat SSL/TLS Entrust
Perusahaan yang menggunakan Sertifikat SSL/TLS Entrust harus segera mencari otoritas sertifikat/CA baru sebelum tenggat waktu atau situs web mereka akan ditandai sebagai “unsecure site” di browser Chrome.
Silahkan hubungi tim PusatSSL untuk konsultasi, rekomendasi dan pemesanan Sertifikat SSL/TLS.
Sumber
Google : https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html
DIGICERT : https://www.digicert.com/campaigns/entrust-certificate-distrust
SECTIGO : https://www.sectigo.com/entrust-certificates-distrust
