FAQ sulla sfiducia verso Entrust

��

Nel , Google ha dichiarato:

"Nel corso degli ultimi anni, hanno evidenziato una serie di comportamenti preoccupanti di Entrust che non soddisfano le aspettative sopra indicate e che hanno eroso la fiducia nella competenza, affidabilità e integrità di Entrust come titolare di una CA pubblicamente attendibile".

e

"Le autorità di certificazione (CA) svolgono un ruolo privilegiato e di fiducia su Internet, supportando le connessioni crittografate tra browser e siti web. Questa enorme responsabilità comporta l'obbligo di aderire ad aspettative di sicurezza e conformità ragionevoli e basate sul consenso, comprese quelle definite dai requisiti TLS di base del CA/Browser Forum.

Negli ultimi sei anni abbiamo osservato una serie di carenze di conformità, un mancato rispetto degli impegni di miglioramento e l'assenza di progressi tangibili e misurabili in risposta ai rapporti sugli incidenti pubblicati. Valutando questi fattori nel loro insieme e considerando i rischi intrinseci che ogni CA pubblicamente attendibile comporta per l'ecosistema di Internet, riteniamo che la fiducia di Chrome in Entrust non sia più giustificata".

A partire dalla versione stabile di Google Chrome dell'11 novembre, che tutti gli utenti di Chrome dovranno installare, Chrome non considererà più attendibili i certificati TLS pubblici emessi da root Entrust con un Signed Certificate Timestamp (SCT) datato dopo l'11 novembre 2024.

Qualsiasi certificato TLS Entrust con SCT datato entro l'11 novembre 2024 sarà valido per la sua durata. Ma se modifichi, ricodifichi o rinnovi un certificato di questo tipo, non sarà più considerato attendibile.��

Apple nel 2024 ha rilasciato un indicando alcune autorità di certificazione e root la cui nuova emissione non sarà più ritenuta attendibile a partire da date specifiche. Molti certificati root di Entrust sono indicati come non attendibili a partire dal 15 novembre 2024. Tra questi, i certificati per TLS, S/MIME, Timestamping e Brand Indicator for Message Identification (BIMI).��

Si noti che i certificati interessati sono ancora presenti nell' di Apple perché i certificati emessi in base a queste root prima del 15 novembre 2024 sono ancora attendibili. Apple applica una logica diversa, non considerando attendibili solo i certificati emessi dopo la data specificata.��

Apple non specifica i prodotti interessati, ma tutti i prodotti Apple devono utilizzare il loro root store, quindi è ragionevole supporre che la questione riguardi tutti i client PKI, tra cui Safari, Apple Mail e ogni app in esecuzione su iOS o iPadOS.

Mozilla ha annunciato che non considera più attendibili i certificati root di Entrust a partire dal 1° dicembre 2024. Qualsiasi certificato TLS Entrust con SCT datato entro il 30 novembre 2024 sarà valido per la sua durata. Ma se modifichi, ricodifichi o rinnovi un certificato di questo tipo a partire dal 1° dicembre, Firefox non lo considererà attendibile.��

Microsoft non ha rilasciato dichiarazioni in merito.

��

Consigliamo ai clienti di pianificare la strategia di sostituzione il prima possibile, con un inventario accurato dei certificati in loro possesso. Potresti già aver riscontrato delle interruzioni operative a causa di questa sfiducia. Questa attività implica la conoscenza della data di scadenza di ogni certificato, la valutazione del profilo di rischio del servizio associato e la pianificazione del processo di sostituzione. Contattaci oggi  per avviare il tuo piano di migrazione.

Puoi utilizzare diversi strumenti che si connettono alla tua infrastruttura per scansionarla e scoprire i certificati presenti nel tuo ambiente. Se sei cliente Entrust, cerca nella tua console Entrust gli strumenti che potrebbero esserti utili.

I clienti ��TV possono utilizzare ��TV^® Trust Lifecycle Manager (TLM) e ��TV CertCentral^® per valutare il proprio ambiente e identificare eventuali certificati Entrust da sostituire. Contattaci se hai bisogno di aiuto per la scansione e il discovery dei certificati.

Il processo per ottenere i nuovi certificati è semplice e veloce, se si è reattivi. Dovremo convalidare il tuo dominio, operazione che richiederà pochi secondi, e poi convalidare la tua organizzazione in pochi minuti. Nella maggior parte dei casi, l'intera procedura per ottenere i nuovi certificati può essere completata molto rapidamente.

La convalida dell'organizzazione (OV) è valida per due anni. Una volta effettuata la convalida con ��TV dovrai solo completare la convalida del dominio (DV), il che renderà le successive richieste di certificati ancora più veloci.

No, prima di poter sostituire i certificati Organization o Extended Validation (EV) di Entrust, ��TV deve eseguire il proprio processo di convalida.

��ì, nel caso di un certificato di convalida del dominio convalidiamo solo il dominio, procedura che richiede pochi secondi. Bastano pochi passaggi semplici e veloci.

Tre principi distinguono ��TV e la nostra Autorità di Certificazione (CA) come fornitore leader di Digital Trust.

In primo luogo, seguiamo scrupolosamente processi ben definiti e usiamo strumenti creati appositamente per ridurre i rischi, come PKILint.

In secondo luogo, lavoriamo a stretto contatto con il CA/Browser Forum per rispondere ai problemi in modo rapido e trasparente: se sorgono problemi, lavoriamo rapidamente per risolverli.

In terzo luogo, siamo parte attiva degli organismi che definiscono gli standard e ci assicuriamo non solo di rispettarli, ma anche di contribuire a svilupparli a vantaggio dell'industria.

Riteniamo che nel corso di questo incidente non ci sia mai stato alcun rischio di sfiducia nei confronti di ��TV, perché abbiamo segnalato il problema non appena ne siamo venuti a conoscenza e abbiamo cooperato con i clienti e i principali vendor di browser per garantire la sostituzione dei certificati nei tempi prestabiliti.

Nel , Google ha dichiarato: "Quando qualcosa va male, ci aspettiamo che i titolari delle CA si impegnino a realizzare un cambiamento concreto e tangibile, che porti a un miglioramento continuo e dimostrabile". ��TV ha profuso il massimo impegno per implementare questi cambiamenti nel minor tempo possibile e ha collaborato a stretto contatto con il gruppo Chrome e altri vendor di browser per correggere l'errore con il minor disagio possibile sui clienti.

Il CA/B Forum non prende decisioni in materia di fiducia/sfiducia in ambito CA. Queste decisioni vengono prese dai vendor di applicazioni che consumano certificati, la maggior parte dei quali sono i grandi vendor di browser (soprattutto Google Chrome).

Questi problemi vengono discussi nel forum Bugzilla (sul ), che è aperto a tutti. Non fidarti delle affermazioni individuali rilasciate nel forum, perché le opinioni possono divergere e spesso ci vuole del tempo prima che emerga un consenso tra i partecipanti.

Sono stati rimossi solo i certificati TLS collegati ai certificati root di Entrust e solo quelli emessi a partire dal 12 novembre 2024.

L'annuncio di Apple ha come oggetto la sfiducia nei confronti dei certificati root di Entrust per TLS, S/MIME, Timestamping e Brand Indicator for Message Identification (BIMI, noto anche come marchio verificato). Leggi per sapere quali certificati root non sono più considerati attendibili in relazione a specifiche funzioni. ��

Supponiamo tuttavia che ci sia la necessità di sostituire altri prodotti di certificazione Entrust: in questo caso, ��TV offre anche soluzioni per gestire S/MIME, firma del codice, firma di documenti, certificati di marchi verificati/comuni e altri tipi di certificati di sicurezza basati su PKI.

��TV Trust Lifecycle Manager supporta PKI aziendali su larga scala, usando l'architettura esistente. Trust Lifecycle Manager consente di scoprire i certificati emessi da qualunque fonte TLS/SSL, non solo quelli di ��TV o Entrust. ��TV offre automazione sia per PKI pubbliche che private, mentre Trust Lifecycle Manager fornisce una piattaforma di gestione sicura della forza lavoro, per implementare facilmente i controlli di accesso basati sui ruoli.

��TV offre incentivi per alcuni clienti coinvolti in questa situazione. Contattaci per maggiori dettagli.

Se la tua attività è interessata dal problema,��gli utenti delle attuali versioni di Chrome, Safari e Firefox riceveranno degli errori quando tenteranno di accedere ai tuoi siti. Se non sai quali certificati possiedi o chi li ha rilasciati, dovresti fare un inventario delle tue risorse crittografiche. ��TV può aiutarti a creare il tuo inventario. Contattaci qui per un piano di migrazione personalizzato o per avere assistenza nell'utilizzo del nostro nuovo Entrust Discovery Connector.

I certificati Entrust TLS emessi prima del 12 novembre non presentano alcun problema immediato. Tuttavia, quando questi certificati saranno prossimi alla scadenza, sarà necessario sostituirli con certificati TLS rilasciati da un'autorità di certificazione pubblica attendibile, come ��TV.

Gli annunci di Chrome e Firefox parlano solo di sfiducia nei confronti dei certificati TLS di Entrust. L'annuncio di Apple ha come oggetto la sfiducia nei confronti dei certificati root di Entrust per TLS, S/MIME, Timestamping e Brand Indicator for Message Identification (BIMI). Leggi l' per sapere quali specifici certificati root non sono più considerati attendibili in relazione a specifiche funzioni.

Solo e hanno dichiarato di non fidarsi più dei certificati Entrust.

La decisione dei Root Program di Google e Mozilla si applica ai certificati TLS pubblici emessi da root Entrust con un Signed Certificate Timestamp (SCT) datato dopo l'11 novembre 2024. La decisione non riguarda al momento altri certificati pubblici, come quelli per la firma del codice o S/MIME, emessi da Entrust.��

Ti consigliamo di consultare al riguardo il tuo consulente legale.

Ti consigliamo di scegliere un vendor esperto nel supportare i clienti in una migrazione generata da un evento di sfiducia. Il primo passo di solito è inventariare tutte le proprie risorse crittografiche. In questo modo puoi stabilire quali aspetti richiedono un intervento immediato e pianificare eventuali altre modifiche e migliorie da apportare.

Sì Per precisione, se a partire dal 12 novembre modifichi, riscrivi o rinnovi un certificato Entrust TLS esistente, il (nuovo) certificato risultante non sarà più considerato attendibile.��

��TV offre un supporto dal vivo premiato, oltre a personalizzazione e consulenza per facilitare l'emissione, la gestione e la mitigazione durante l'intero ciclo di vita del certificato. ��TV è nota in particolare per la sua capacità di offrire assistenza ai clienti e collaborare con loro al fine di soddisfare tutte le loro esigenze in materia di certificati. Let's Encrypt svolge un ruolo importante, ma non fornisce tutti i tipi di certificati né offre una console di gestione, un supporto tecnico in tempo reale o servizi accessori avanzati come la gestione del ciclo di vita dei certificati. Con noi, puoi gestire tutti i tuoi certificati ��TV con CertCentral o usare Trust Lifecycle Manager per i certificati emessi da altre autorità di certificazione.

��ì, ma esiste almeno un rimedio alternativo pubblicato. Citando l'annuncio della sfiducia di Chrome:

A partire da Chrome 127, le aziende possono ignorare i vincoli del Chrome Root Store come quelli descritti per Entrust in questo post, installando il certificato CA root corrispondente come sulla piattaforma in cui Chrome è in esecuzione (ad esempio, installato nel Microsoft Certificate Store come CA root attendibile).

Chrome su Android utilizza il Root Store di Chrome, quindi è interessato dal problema della sfiducia. È importante notare che, come tutti i software iOS, Chrome su iOS deve utilizzare i Root Store di Apple e quindi non è necessariamente interessato. Ma Chrome ha già bloccato le root nel codice in passato e Google ha riprogrammato la giornata della sfiducia al 12 novembre per farla coincidere con il rilascio di una versione di Chrome. Questo può significare che Chrome bloccherà le root nel codice di quell'aggiornamento.

Se in futuro Apple non si fiderà di Entrust, il problema si ripercuoterà su tutti i dispositivi iOS e MacOS.

Esatto. Attualmente il problema è limitato a WebPKI. Le CA governative sono separate e non sono direttamente interessate.

��ì, ��TV Trust Lifecycle Manager recupererà l'inventario dal tuo account Entrust e ti offrirà un "pulsante facile" per ottenere un nuovo certificato da ��TV. Inoltre, ti darà anche la possibilità di automatizzare l'installazione e il rinnovo di diversi sistemi e servizi.

��TV

Gestisci I Pki E I Rischi Legati AI Certificati in Un Unico Posto

Gestisci i PKI e i rischi legati ai certificati in un unico posto

Il modo più intelligente per gestire i cicli di vita dei certificati

Firma continua per CI/CD & DevOps

Firma sicura, flessibile e globale

Affidabile dalla produzione all'uso sul campo

EVENTO DI LANCIO

La Novità Più Importante in 30 Anni Di Pki

Edizione 2022 Della Guida Alle Best Practice TLS/SSL

Edizione 2022 Della Guida Alle Best Practice TLS/SSL

WEBINAR

Gestire L’espansione Incontrollata Di Dispositivi, Identità E Certificati

Come Creare Una Policy Di Firma Che Verrà Realmente Adottata da DevOps

Ottieni Una Prospettiva Globale Sulla Gestione Della Firma Dei Documenti E Delle Normative

Proteggi, Aggiorna, Monitora E Controlla I Dispositivi Connessi Su Larga Scala

Trova il giusto certificato TLS/SSL per proteggere il tuo sito web

Soluzioni per la sicurezza delle transazioni e dei documenti dei siti web conformi a eIDAS

Digital Trust per Il Mondo Reale

Sintesi

Rapporto dell'Istituto Ponemon

SAPERNE DI PIÙ >

Partnership Efficaci Che Assicurano La Digital Trust in Tutto Il Mondo per:

Partnership Basata Sulla Fiducia

Partnership Basata Sulla Fiducia

Supporto

Strumenti

Risorse

Contatta Il Nostro Team Di Assistenza

CHOOSE YOUR LANGUAGE

Scegli la tua lingua