После падения в оценках основных производителей браузеров Google и Mozilla Entrust предстоит длительная борьба за восстановление доверия отрасли и повторный выпуск доверенных сертификатов TLS.
Так считают руководители конкурирующего эмитента сертификатов Sectigo. Компания также утверждает, что Microsoft и Apple, скорее всего, последуют примеру своих конкурентов и перестанут доверять сертификатам, недавно выпущенным Entrust для Edge и Safari соответственно.
Не только процесс восстановления доверия основных браузеров займет годы, сказал технический директор Sectigo Ник Франс изданию El Reg, это подвиг, который никогда ранее не совершался. Ни один из 14 центров сертификации (CA), ранее не пользовавшихся доверием как публичные корневые центры, не восстановил свой статус в мире CA.
«Политика Google строга и ясна: как только доверие потеряно, восстановить его чрезвычайно сложно», — сказал генеральный директор Sectigo Кевин Вайс в обращении, предоставленном The Register перед публикацией. «Лишь немногим избранным глобальным технологическим компаниям предоставляется огромная привилегия быть хранителями цифрового доверия.
«Может потребоваться от 18 месяцев до нескольких лет, чтобы получить общедоступный корневой сертификат, которому доверяют браузеры. Эта привилегия сопряжена с непреложной ответственностью, которую я лично считаю общественным долгом поддерживать».
«Google не принял решение удалить Entrust из своего корневого хранилища по прихоти. Entrust на протяжении многих лет последовательно не соответствовал базовым требованиям», — заявил Вайс, добавив, что, по его мнению, компания потратила «месяцы» на то, чтобы скрыть и «отказаться от общения с сообществом по поводу того, что она делает».
Недавно мы довольно подробно рассказали о фиаско Entrust. Сначала Google отказался от него в июне как общедоступный корневой центр, что в первую очередь означает, что будущие версии Chrome не будут принимать сертификаты HTTPS веб-сайтов, если они были недавно выпущены Entrust; Производитель Firefox Mozilla последовала этому примеру на прошлой неделе. Подводя краткий итог: в последние годы Entrust, как утверждается, потерпел неудачу по ряду причин.
По данным Google, они предположительно включали задержку и неудачный отзыв сертификатов, непредоставление отчетов об инцидентах и административные ошибки, такие как как включение неверных данных в поля сертификата.
Это показало более широкой отрасли «образец тревожного поведения», как выразился Google, добавив, что Entrust больше нельзя доверять в выдаче сертификатов безопасности как корневому органу. Entrust связал многие из этих проблем с неправильным толкованием требований соответствия.
В довершение всего, в конце июля Entrust также обвинили в угрозах клиентам отзывом их все еще действующих сертификатов, если они откажутся продлевать их на новых условиях в партнерстве с SSL.com.
Брюс Мортон, директор по сертификационным услугам в Entrust, немедленно отверг обвинение, заявив, что это не отражает политику продления. Когда его надавили на этот вопрос, он ответил, что процедура продления зависит от того, какую модель лицензирования выбрал клиент.
Чтобы сохранить свою актуальность в пространстве ЦС, одновременно работая над восстановлением утраченного доверия, Entrust заключила партнерские отношения с SSL.com, доверенным общедоступным корнем, и, по сути, будет реселлером сертификатов SSL.com с нанесенным на него именем Entrust, что делает его это скорее регистрационный орган (RA), а не полноценный CA.
Однако два руководителя Sectigo заявили, что планы Entrust продолжать предлагать сертификаты в качестве RA, по сути, сводятся к тому, чтобы просить своих клиентов подождать и посмотреть, все ли это оправдывает надежды Entrust, но в этом нет уверенности.
«Интеграции SSL.com еще не существует. Они не предложили клиентам возможность протестировать ее или протестировать SSL.com. Сертификат неизвестен, у него нет даты выпуска и нет гарантии, что он будет работать», — заявил Франс.
«Также предполагается, что сертификаты SSL.com так же широко совместимы, как и сертификаты Entrust, и что SSL.com и Entrust имеют одинаковые сертификаты. Это может быть не так».
Вайсс добавил, что пока неясно, сможет ли SSL.com справиться с возросшим объемом клиентов.
Франция также заявила, что решение о партнерстве с SSL.com, вероятно, было принято из-за ограниченного выбора. Entrust нужен был партнер CA, который обслуживал бы ее основную демографическую группу, Северную Америку, и с которым она не конкурировала бы по другим своим продуктам, таким как частная PKI.
Новые сертификаты SSL.com от Entrust идут с надбавкой. Например, сертификат Organization Validation Wildcard, купленный напрямую у SSL.com на один год, стоит 299 долларов, но покупка того же самого у Entrust обойдется клиентам в 799 долларов. Франция заявила, что, учитывая ограниченные возможности, которые были у Entrust при выборе SSL.com в качестве партнера, «разница в ценах, вероятно, была просто риском, который им пришлось принять и с которым пришлось справиться».
Игнорируя свой новый план по восстановлению доверия в качестве центра сертификации, попытки Entrust заслужить расположение после того, как Google отказался от них в июле, были описаны как «слишком мало и слишком поздно». Радикальные организационные изменения, от руководства до внутренних процессов, и увеличение расходов на НИОКР в области автоматизации, произошли слишком поздно, чтобы убедить производителей браузеров, что они могут поступать правильно со своими клиентами.
Недавно выпущенные компанией сертификаты перестанут работать в Chrome в ноябре, а в Firefox — месяцем позже. Пока неизвестно, как будет проходить переход и сколько клиентов решат остаться с Entrust, но, судя по настроениям, выраженным в онлайн-обсуждениях, возможно, многие клиенты пойдут своим путем.
The Register обратился к Entrust за его мнением по этому вопросу, и пока мы не услышим от него, мы можем оглянуться на его заявление в ответ на недоверие Mozilla к нему на прошлой неделе. В то время представитель компании вновь подтвердил ее первоначальные амбиции продолжать бороться за свой статус CA.
Они сказали: «Хотя мы разочарованы решением, наши планы не изменились. Мы по-прежнему привержены удовлетворению потребностей наших клиентов в цифровых сертификатах, а также нашей роли как центра сертификации».
«Мы рады, что Mozilla одобрила наш план продолжить предлагать нашим клиентам цифровые сертификаты, выступая в качестве центра регистрации для сертификатов TLS, выпущенных нашими партнерами на SSL.com. В то же время мы активно и энергично реализуем план усовершенствований, чтобы вернуться к полной поддержке браузерами.» ®