Google ha revelado que ya no confiará en los certificados digitales emitidos por Chunghwa Telecom y Netlock citando «Patrones de comportamiento relacionado observados durante el año pasado».
Se espera que los cambios se introduzcan en Chrome 139, que está programado para el lanzamiento público a principios de agosto de 2025. La versión principal actual es 137.
La actualización afectará todos los certificados de autenticación de la seguridad de la capa de transporte (TLS) emitidos por las dos autoridades de certificados (CAS) después del 31 de julio de 2025, 11:59:59 PM UTC. Los certificados emitidos antes de esa fecha no se verán afectados.
Chunghwa Telecom es el proveedor de servicios de telecomunicaciones integrado más grande de Taiwán y Netlock es una empresa húngara que ofrece identidad digital, firma electrónica, estampado de tiempo y soluciones de autenticación.
«En los últimos meses y años, hemos observado un patrón de fallas de cumplimiento, compromisos de mejora no satisfechos y la ausencia de progreso tangible y medible en respuesta a informes de incidentes revelados públicamente», dijo el programa de seguridad de Chrome de Google y el equipo de seguridad de Chrome.
«Cuando estos factores se consideran en agregado y se consideran contra el riesgo inherente que cada CA de confianza pública se presenta a Internet, la confianza pública continua ya no está justificada».
Como resultado de este cambio, los usuarios del navegador de Chrome en Windows, MacOS, Chromeos, Android y Linux que navegan a un sitio que sirva a un certificado emitido por cualquiera de los dos CA después del 31 de julio, recibirán una advertencia de seguridad de pantalla completa.
Se recomienda a los operadores de sitios web que confían en los dos CA para usar el visor de certificados Chrome para verificar la validez de los certificados de su sitio y la transición a una nueva CA con confianza pública tan pronto como sea «razonablemente posible» para evitar cualquier interrupción del usuario.
Sin embargo, las empresas pueden anular estas restricciones de almacenamiento raíz de Chrome al instalar el certificado de CA raíz correspondiente como una raíz localmente ajustada en la plataforma que Chrome se está ejecutando. Vale la pena señalar que Apple ha desconfiado del certificado Root CA «Netlock Arany (Class Gold) Főtanúsítvány» a partir del 15 de noviembre de 2024.
La divulgación se produce después de Google Chrome, Apple y Mozilla decidieron no confiar más en los certificados de Root CA firmados por encapricados a partir de noviembre de 2024. Desde entonces, la confianza ha vendido su negocio de certificados a Sectigo.
A principios de marzo, Google también reveló que el Foro CA/Browser adoptó la corroboración de emisión multiperspectiva (MPIC) y la pelusa como las prácticas requeridas en los requisitos de referencia (BRS) para mejorar la validación de control de dominio y las prácticas inseguras en los certificados X.509.