A Mozilla, desenvolvedora do navegador Firefox, está seguindo os passos do Google Chrome ao oficialmente retirar a confiança na Entrust como autoridade certificadora (CA) raiz. A decisão foi tomada após um período prolongado de falhas de conformidade por parte da Entrust.
A decisão foi anunciada após o Google ter sido o primeiro a tomar essa medida, citando um “padrão de comportamentos preocupantes” por parte da empresa. A Entrust, em resposta, pediu desculpas ao Google, Mozilla e à comunidade da web em geral, delineando seus planos para recuperar a confiança dos navegadores. No entanto, esses planos foram considerados insatisfatórios tanto pelo Google quanto pela Mozilla.
Ben Wilson, gerente de loja raiz da Mozilla, afirmou que a decisão não foi tomada de ânimo leve, mas que a resposta da Entrust às preocupações levantadas não inspirou confiança de que a situação melhoraria. Segundo Wilson, a Mozilla havia solicitado à Entrust um relatório detalhado sobre os incidentes recentes e suas causas, bem como uma avaliação das ações recentes da Entrust à luz dos compromissos anteriores após incidentes graves em 2020. Contudo, os compromissos apresentados no relatório atualizado da Entrust não foram significativamente diferentes dos compromissos feitos em 2020, que foram quebrados nos incidentes recentes.
A Mozilla também citou um documento separado que amalgamava o “número substancial de incidentes de conformidade” na Entrust como motivo de preocupação. Entre março e maio deste ano, a Mozilla observou 22 incidentes separados, muitos dos quais estavam relacionados a atrasos e prazos perdidos.
A Entrust pretende continuar operando como uma Autoridade de Registro (RA) por meio de uma parceria com a SSL.com, cujos certificados ainda são confiáveis pelos navegadores. A Mozilla apoiou essa medida, reconhecendo que a SSL.com, como operadora da raiz CA dentro do programa de raiz CA da Mozilla, será responsável pela validação de domínio, emissão de certificados e revogação, bem como por quaisquer incidentes que possam ocorrer.
A Mozilla deixará oficialmente de confiar nos certificados emitidos pela Entrust após 30 de novembro de 2024. Qualquer certificado emitido antes dessa data continuará sendo confiável, mas os emitidos após essa data não serão, a menos que sejam adquiridos da SSL.com via Entrust.