PKI前线｜继Google之后，Mozilla宣布不再信任Entrust证书

在对近期Entrust合规事件的调查和评估后，Mozilla根证书库团队宣布将从2024年11月30日起，不再信任由Entrust签发的SSL/TLS证书。

前情提要——

《PKI前线｜重大改变！Google宣布Entrust证书不受信任》
《Entrust被Google取消信任的思考 – 可信CA还可信吗?》

Mozilla不再信任Entrust

Mozilla表示这一决定是基于Entrust未能履行其在2020年类似事件后做出的承诺，并且其最新的报告和解决方案未能有效解决问题或重新建立信任。

据了解，Mozilla此前要求Entrust提供一份详细的报告，解释近期事件的根本原因，并提出恢复信任的具体计划。然而，尽管Entrust提交了更新的报告，但其内容与2020年的承诺相比并无实质性改进，而这些承诺在近期事件中已被打破。

最终，建议的计划不足以恢复对Entrust运营的信任。因为重建信任需要坦诚而清楚地说明失败及其根本原因，提供详细且可信的应对计划，以及基于客观且可外部衡量标准的具体承诺。

此外，Mozilla表示，他们也了解到Entrust已与SSL.com达成协议，成为其外部注册机构（RA，Registration Authority），负责对SSL.com的证书申请者进行预审核。

“我们支持这一安排，因为SSL.com作为Mozilla根证书程序中的根CA运营商，将负责域名验证、证书发行和撤销，最终对于可能发生的任何事件承担责任。”Mozilla根证书库经理Ben Wilson说道。

尽管Mozilla支持这一安排，并认可SSL.com作为根CA项目中的重要角色，但Entrust整体操作的信任问题仍未得到解决。

总而言之，Mozilla打算对2024年11月30日之后颁发的SSL/TLS证书实施不信任日期，适用于以下根CA：

• •AffirmTrust Commercial
• •AffirmTrust Networking
• •AffirmTrust Premium
• •AffirmTrust Premium ECC
• •Entrust Root Certification Authority
• •Entrust Root Certification Authority - EC1
• •Entrust Root Certification Authority - G2
• •Entrust Root Certification Authority - G4
• •Entrust.net Certification Authority （2048）

Mozilla希望Entrust能够采取实际行动，彻底解决这些事件的根本原因，以最终恢复对其内部政策、流程、工具和技术以及对Web PKI社区承诺的信心。

Entrust的回复

对于此决定，8月1日上午，Entrust证书业务总监Bruce Morton回应道：“我们对这一决定感到失望，但仍然要重申，Entrust将继续执行我们的改进计划，并致力于重新建立与Mozilla及Web PKI社区的信任。我们也感谢你们对我们继续通过与SSL.com的合作作为委托RA运营计划的支持和认可。我们将在这两个方面持续提供最新进展。”

Bruce Morton强调，Entrust正在执行全新计划，以应对Chrome和现在Mozilla宣布的变更。

全新计划

重返Chrome Root Store

Entrust回应，他们将致力于重新进入Chrome根证书库。“我们已经确定了应对Google决定的步骤，并持续执行我们的改进计划，同时与浏览器社区密切合作，讨论我们的前进路径。”

在完成改进计划后，Entrust期待重新申请进入Chrome根证书库。

目前尚未确定具体时间表。Entrust将在接下来的几个月里继续提供有关改进计划和时间表的最新进展。

全新的SSL/TLS证书解决方案

Entrust表示，在11月人们可以继续直接从Entrust申请证书并获得证书服务。具体操作如下：

• 1. 继续按原有的定价模型和服务水平协议（SLA）订购证书。
• 2. 依赖Entrust进行证书生命周期管理、验证、支持和专业服务，我们计划作为这些证书的注册机构（RA）提供服务。
• 3. 我们将提供由符合Google、CA/Browser Forum和Entrust要求的CA合作伙伴——SSL.com签发的SSL/TLS证书。

也就是说，未来，Entrust计划作为注册机构（RA），而SSL.com将作为证书颁发机构（CA）。

什么是注册机构（RA）？——

根据CA/B论坛基线要求，注册机构（RA）是负责证书主体的身份验证和认证的法律实体，但不是CA，因此不签发或颁发证书。RA负责对证书申请者的身份进行验证和认证。

RA并不直接签发或管理证书，而是协助CA进行证书申请或撤销过程处理。

“RA”作为形容词描述角色或功能时，不一定意味着独立的机构，而可以是CA的一部分。

客户请求证书通过Entrust的用户界面或API提交证书和验证请求的方式将不会改变。SSL.com将完成证书签发所需的域名验证过程。Entrust表示，其已经与Google审核了这一安排。

有关这些计划的更多信息，可访问：https://www.entrust.com/tls-certificate-information-center

来源｜Mozilla、Entrust
图源｜Pixabay
编辑｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，有部分删减，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。