Atualmente, o Chrome usa a parte do armazenamento raiz do certificado de cada sistema operacional. O Google planeja gerenciar sua própria lista de certificados “aprovados” a partir de agora, semelhante ao Firefox
Por Adriano Frare
BlockChain / Security / Pen Test
O Google anunciou planos para executar seu próprio programa de certificação raiz para o Chrome, em uma grande mudança arquitetônica para o programa de navegador da empresa.
Um ” programa raiz ” ou um ” armazenamento raiz ” é uma lista de certificados raiz que os sistemas operacionais e aplicativos usam para verificar a identidade de um programa de software durante sua rotina de instalação.
Hoje, o Chrome usa a parte do armazenamento raiz do certificado de cada sistema operacional.
Navegadores como o Chrome usam armazenamentos de raiz para verificar a validade de uma conexão HTTPS. Eles fazem isso validando o certificado do site e verificando se o certificado raiz usado para gerar o certificado TLS está incluído no programa / armazenamento raiz local.
Desde seu lançamento no final de 2009, o Chrome foi configurado para usar o “armazenamento raiz” da plataforma subjacente. Por exemplo, o Chrome no Windows verificou o certificado TLS de um site em relação ao Microsoft Trusted Root Program , o armazenamento de raiz que acompanha o Windows; O Chrome no macOS dependia do Programa de certificação raiz da Apple ; e assim por diante.
O programa está atualmente em seus estágios incipientes e não há um cronograma de quando o Chrome fará a transição de usar o armazenamento raiz do sistema operacional para sua própria lista interna.
O fabricante do navegador está pedindo às CAs que leiam as regras e se inscrevam para serem incluídas em sua nova lista de permissões do Chrome Root Program para garantir uma transição perfeita para os usuários do Chrome quando sete momento chegar.
O Chrome tem uma participação de mercado de 60% a 65%, é a porta de entrada da maioria dos usuários para a Internet, e a maioria das CAs provavelmente terá seus negócios em ordem quando chegar o momento de transição.
As razões para fazer isso são muitas, começando com a capacidade da equipe de segurança do Chrome de intervir e banir CAs que se comportam mal com mais rapidez e o desejo do Google de fornecer uma experiência consistente e implementação comum em todas as plataformas.
Acredito que está mudança não será muito bem vinda, visto que existem entidades governamentais, empresas privadas e organizações internacionais que fazem todo um trabalho para asseguram a segurança destes certificados raiz. E não gostariam que o Google tivessem sozinho este controle.
Apple adere aos protocolos DoH e Dot
O que é a certificação do PCI DSS
Office 365 – substituição do TLS 1.0 e 1.1. Por Adriano Frare
- ICP-Brasil interrompe emissão de certificados digitais SSL/TLS para websites
- Check Point Software aprimora a detecção de phishing e malware
- GMO GlobalSign inclui suporte ACME para emissão de certificados de domínio interno
- Google Desconfia de Certificados Digitais TLS da Entrust
- GMO GlobalSign lança o Gerenciador de Automação de Certificados
