Googleは、過去1年間に観察された「懸念される行動のパターン」を理由に、中華電信とNetlockが発行したデジタル証明書を今後信頼しないことを明らかにしました。
これらの変更は、2025年8月初旬に一般公開が予定されているChrome 139で導入される予定です。現在の主要バージョンは137です。
このアップデートは、2025年7月31日午後11時59分59秒UTC以降に2つの認証局(CA)によって発行されたすべてのトランスポート層セキュリティ(TLS)サーバー認証証明書に影響を与えます。それ以前に発行された証明書には影響はありません。
中華電信は台湾最大の統合通信サービスプロバイダーであり、Netlockはデジタルアイデンティティ、電子署名、タイムスタンプ、認証ソリューションを提供するハンガリーの会社です。
「過去数か月および数年間にわたり、コンプライアンスの失敗、改善の約束の未達、公開されたインシデントレポートに対する具体的で測定可能な進展の欠如というパターンを観察してきました」とGoogleのChrome Root ProgramおよびChrome Security Teamは述べました。
「これらの要因を総合的に考慮し、インターネットに対する各公開信頼CAの固有のリスクと比較すると、継続的な公開信頼はもはや正当化されません。」
この変更の結果として、Windows、macOS、ChromeOS、Android、およびLinuxのChromeブラウザーのユーザーが7月31日以降に2つのCAのいずれかによって発行された証明書を提供するサイトにアクセスすると、全画面のセキュリティ警告が表示されます。
2つのCAに依存しているウェブサイト運営者は、サイトの証明書の有効性を確認するためにChrome Certificate Viewerを使用し、ユーザーの混乱を避けるために「合理的に可能な限り早く」新しい公開信頼CAに移行することを推奨されます。
しかし、企業は、Chromeが動作しているプラットフォームに対応するルートCA証明書をローカル信頼ルートとしてインストールすることで、これらのChrome Root Storeの制約をオーバーライドできます。Appleが2024年11月15日をもって「NetLock Arany (Class Gold) Főtanúsítvány」ルートCA証明書を不信任にしたことも注目に値します。
この発表は、Google Chrome、Apple、およびMozillaが2024年11月をもってEntrustによって署名されたルートCA証明書を信頼しないことを決定した後に行われました。Entrustはその後、証明書事業をSectigoに売却しました。
今年3月初めに、Googleは、CA/ブラウザフォーラムが、ドメイン制御の検証を強化し、X.509証明書の不安全な慣行をフラグするために、マルチパースペクティブ発行の裏付け(MPIC)とリンティングをベースライン要件(BRs)における必須の慣行として採用したことを明らかにしました。
翻訳元: https://thehackernews.com/2025/06/google-chrome-to-distrust-two.html