����TV

��

, Google hizo las siguientes declaraciones:

"En los últimos años, los han puesto de relieve un patrón de comportamientos preocupantes por parte de Entrust que no están a la altura de las expectativas descritas anteriormente, lo que ha erosionado la confianza en la competencia, fiabilidad e integridad de Entrust como CA de confianza pública".

El anuncio dice también:

"Las autoridades de certificación (CA) desempeñan una función esencial a la hora de garantizar la confianza en Internet, que es la base de las conexiones cifradas entre los navegadores y los sitios web. Debido a esta enorme responsabilidad, es necesario que estas se adhieran a los estándares de seguridad y cumplimiento consensuados en el sector, lo que incluye los estipulados por los requisitos básicos del CA/Browser en materia de TLS.

Durante los últimos seis años, hemos observado un patrón de infracciones de cumplimiento, promesas de mejora incumplidas y la ausencia de avances tangibles y cuantificables en respuesta a la publicación de los informes de incidentes. Teniendo en cuenta todos estos factores, y en vista del riesgo inherente que cada CA de confianza pública supone para el ecosistema de Internet, consideramos que ya no tiene justificación que Chrome confíe en Entrust".

A partir del 12 de noviembre de 2024 —fecha del lanzamiento de la nueva versión estable de Google Chrome que acabarán por instalar todos los usuarios de Chrome—, Chrome dejará de confiar en los certificados TLS públicos emitidos desde raíces de Entrust que contengan una marca de tiempo de certificado firmada (SCT) con fecha posterior al 11 de noviembre de 2024.

Los certificados TLS de Entrust con una SCT con fecha del 11 de noviembre de 2024 o anterior seguirán siendo válidos mientras estén vigentes. No obstante, si modifica, renueva o emite claves nuevas para alguno de estos certificados, este dejará de ser de confianza.��

En 2024, Apple publicó un que enumeraba ciertas autoridades de certificación y raíces cuyos certificados nuevos dejarían de ser de confianza a partir de determinadas fechas. La lista incluye numerosos certificados raíz de Entrust que pierden la confianza de Apple a partir del 15 de noviembre de 2024. Esta decisión afecta a los certificados TLS, S/MIME, de sellado de tiempo y BIMI (indicadores de marca para la identificación de mensajes).��

Tenga en cuenta que los certificados afectados siguen figurando en la de Apple, ya que los certificados emitidos desde estas raíces antes del 15 de noviembre de 2024 siguen siendo válidos. Apple sigue una lógica distinta, según la cual solo deja de confiar en los certificados emitidos con posterioridad a la fecha señalada.��

Aunque Apple no especifica qué productos concretos se verán afectados, todos los productos de Apple deben utilizar su root store, por lo que podemos deducir que la decisión afectará a todos los clientes PKI, como Safari, Apple Mail y cualquier aplicación que ejecute iOS o iPadOS.

Mozilla ha anunciado que dejará de confiar en los certificados raíz de Entrust para emisiones nuevas a partir del 1 de diciembre de 2024. Los certificados TLS de Entrust con una SCT con fecha del 30 de noviembre de 2024 o anterior seguirán siendo válidos mientras estén vigentes. No obstante, si modifica, renueva o emite claves nuevas para alguno de estos certificados el 1 de diciembre o después de esa fecha, dicho certificado dejará de ser de confianza para Firefox.��

Microsoft no ha hecho ningún anuncio al respecto.

��

Nuestra recomendación es empezar a trabajar en la estrategia de sustitución lo antes posible con un inventario preciso de todos los certificados que tenga, porque es posible que ya esté sufriendo interrupciones como consecuencia de esta decisión. Para ello, deberá conocer la fecha de caducidad de cada certificado, evaluar el perfil de riesgo del servicio asociado y planificar el proceso de sustitución.Póngase en contacto con nosotros hoy mismo para poner en marcha su plan de migración.

Existen diferentes herramientas que se pueden conectar a su infraestructura para analizar su entorno y detectar los certificados presentes en él. Si es cliente de Entrust, debería encontrar herramientas de ayuda en el panel de control de Entrust.

Los clientes de ����TV pueden utilizar ����TV^® Trust Lifecycle Manager (TLM) y ����TV CertCentral^® para evaluar su entorno y encontrar cualquier certificado de Entrust que deba sustituirse. Si necesita ayuda con el análisis y la detección, póngase en contacto con nosotros.

Si muestra interés, obtener certificados nuevos es un proceso rápido y sencillo. Tendremos que validar su dominio, que no lleva más que unos segundos, y a continuación validar su empresa, que se puede hacer en cuestión de minutos. En definitiva, en la mayoría de los casos, el proceso para obtener certificados nuevos puede completarse en muy poco tiempo.

La validación de la empresa (OV) es válida durante dos años. Una vez que haya hecho la validación con ����TV, solo deberá completar la validación de dominio (DV), lo que significa que las solicitudes de certificados posteriores se procesarán aún más rápido.

No. Para poder sustituir sus certificados con validación de empresa (OV) o con validación extendida (EV) de Entrust, ����TV deberá llevar a cabo su propio proceso de validación.

Sí. Como, en este caso, validamos únicamente el dominio, el proceso se completa en cuestión de segundos y usted solo tiene que realizar un par de acciones rápidas y sencillas.

Hay tres principios que convierten a ����TV y a su autoridad de certificación (CA) en un proveedor líder de confianza digital.

En primer lugar, seguimos rigurosamente unos procesos bien definidos y utilizamos herramientas que han sido diseñadas específicamente para mitigar los riesgos, como pkilint.

En segundo lugar, colaboramos estrechamente con el CA/Browser Forum para abordar los problemas de forma rápida y transparente. Cuando surge alguno, nos ponemos a trabajar enseguida para solucionarlo.

Por último, participamos activamente en los organismos de normalización, lo que garantiza que no solo cumplimos con los estándares, sino que, además, contribuimos a su evolución en beneficio del sector.

En nuestra opinión, nunca existió ningún riesgo de que se dejase de confiar en ����TV durante este incidente, ya que informamos del problema en cuanto tuvimos conocimiento del error y trabajamos con nuestros clientes y con los principales navegadores para garantizar que los certificados afectados se sustituyesen dentro de los plazos estipulados.

, Google señaló que «de producirse algún problema, esperamos de las CA que se comprometan a realizar los cambios necesarios y a proporcionar pruebas de mejora continua». ����TV hizo todo cuanto estaba en su mano para realizar esos cambios lo antes posible y colaboró estrechamente con Chrome y otros navegadores para corregir el error en equipo con las mínimas interrupciones posibles para nuestros clientes.

El CA/B Forum no decide si confiar o no en una CA. Este tipo de decisiones las toman los proveedores de aplicaciones que utilizan certificados, que son en su gran mayoría proveedores de navegadores (principalmente, Google Chrome).

El foro Bugzilla (en el producto ) es público y gratuito y se utiliza para hablar de estos problemas. Es importante no confiar ciegamente en las aportaciones al foro hechas a título individual, ya que no todo el mundo comparte el mismo parecer y llegar a un consenso entre los participantes lleva su tiempo.

Solo se han visto afectados los certificados TLS emitidos desde certificados raíz de Entrust y a partir del 12 de noviembre de 2024 (incluido).

El anuncio de Apple se centra en la retirada de confianza a los certificados raíz de Entrust utilizados para emitir certificados TLS, S/MIME, de sellado de tiempo y BIMI (indicadores de marca para la identificación de mensajes, también conocidos como de marca verificada). Consulte la lista del para ver qué certificados raíz en concreto dejan de ser de confianza para qué funciones. ��

En caso de que quiera sustituir otros certificados de Entrust, ����TV también ofrece soluciones para gestionar certificados S/MIME, de firma de código y de documentos, y de marca común o verificada, así como otros tipos de herramientas de seguridad de certificados basadas en la PKI.

����TV Trust Lifecycle Manager admite PKI empresariales a gran escala y funciona con su arquitectura existente. Esta solución le permite detectar certificados emitidos por cualquier fuente TLS/SSL, no solo por ����TV o Entrust. Ofrecemos automatización para PKI públicas y privadas, y Trust Lifecycle Manager proporciona una plataforma de gestión del personal segura que permite implementar fácilmente controles de acceso basados en funciones.

����TV ofrece incentivos para ciertos clientes afectados por esta decisión. Póngase en contacto con nosotros para informarse.

Sabrá si la decisión le ha afectado porque los��usuarios de las versiones actuales de Chrome, Safari y Firefox recibirán mensajes de error al intentar acceder a sus sitios. Si no sabe qué certificados tiene o quién los emitió, es necesario que haga inventario de sus activos criptográficos. ����TV puede ayudarle a elaborar este inventario.Póngase en contacto con nosotrossi quiere que le ayudemos a establecer un plan de migración personalizado o si necesita asistencia para utilizar nuestra nueva herramientaEntrust Discovery Connector.

De manera inmediata, no hay problemas con los certificados TLS de Entrust que se hayan emitido antes del 12 de noviembre. Sin embargo, antes de que caduquen deberá sustituirlos por certificados TLS de una autoridad de certificación pública de confianza como ����TV.

Los anuncios de Chrome y Firefox solo hacen referencia a los certificados TLS de Entrust. El anuncio de Apple especifica que la empresa dejará de confiar en los certificados raíz de Entrust para la emisión de certificados TLS, S/MIME, de sellado de tiempo y BIMI (indicadores de marca para la identificación de mensajes). Consulte la lista del para ver qué certificados raíz en concreto dejan de ser de confianza para qué funciones.

y son los únicos que han declarado que dejarán de confiar en Entrust.

La decisión de los programas de raíces de Google y Mozilla afecta a los certificados TLS públicos emitidos desde raíces de Entrust que contengan una marca de tiempo de certificado firmada (SCT) con fecha posterior al 11 de noviembre de 2024. A día de hoy, la decisión no afecta a ningún otro tipo de certificado público emitido por Entrust, como los de firma de código o S/MIME.��

Le recomendamos que busque asesoramiento jurídico.

Deberá trabajar con un proveedor que tenga experiencia en ayudar a los clientes a migrar sus certificados tras una retirada de confianza. Por lo general, el primer paso será hacer inventario de todos los activos criptográficos de la empresa. Esto le ayudará a determinar qué requiere atención inmediata y a planificar cualquier otro cambio o mejora que deba realizarse.

No. Si, a partir del 12 de noviembre (incluido), modifica, renueva o emite claves nuevas para un certificado TLS de Entrust existente, el certificado resultante (nuevo) no será de confianza.��

����TV ofrece un servicio de atención al cliente en directo galardonado, así como opciones de personalización y representación que facilitan la emisión, gestión y mitigación durante todo el ciclo de vida de los certificados. ����TV es famoso por su atención al cliente y por trabajar con los clientes para garantizar que todas sus necesidades en materia de certificados estén cubiertas. Let's Encrypt desempeña un papel importante, pero no ofrece todos los tipos de certificados, una consola de gestión, asistencia técnica en directo ni servicios suplementarios avanzados como la gestión del ciclo de vida de los certificados. Con ����TV, puede gestionar todos sus certificados de esta CA con CertCentral o utilizar Trust Lifecycle Manager para los certificados emitidos por otras autoridades de certificación.

��í, pero existe al menos una manera de solucionarlo. Según el propio anuncio de Chrome:

A partir de la versión Chrome��127, las empresas podrán sortear las limitaciones impuestas por la Chrome Root Store, como las que se describen para Entrust en esta entrada de blog. Para ello, deberán instalar el certificado de CA raíz correspondiente como en la plataforma en la que se ejecute Chrome (esto es, instalarlo en el almacén de certificados de Microsoft como CA raíz de confianza).

Chrome para Android utiliza el almacén de raíces de Chrome, por lo que también está afectado por la retirada de confianza. Cabe destacar que, como ocurre con todo el software de iOS, Chrome para iOS debe utilizar los almacenes de raíces de Apple y, por lo tanto, no se vería afectado necesariamente. Sin embargo, en el pasado Chrome ha bloqueado ciertas raíces en el código, y Google ha retrasado un día la retirada de confianza (hasta el 12 de noviembre) para que coincida con la fecha de publicación de una nueva versión de Chrome, lo que sugiere que podrían bloquear las raíces en el código de dicha versión.

Si Entrust pierde la confianza de Apple más adelante, la decisión afectará a todos los dispositivos iOS y macOS.

Así es. Por ahora, esto se limita a WebPKI. Las CA gubernamentales son independientes y no se verán afectadas directamente.

��í, ����TV Trust Lifecycle Manager extrae un inventario a partir de su cuenta de Entrust y le permite obtener un certificado nuevo de ����TV con solo pulsar un botón. También le dará la capacidad de automatizar la instalación y renovación de numerosos sistemas y servicios.