A Google anunciou uma medida significativa de segurança que irá impactar utilizadores e administradores de websites: a partir de 1 de agosto de 2025, com o lançamento do Chrome 139, o navegador deixará de confiar nos certificados de raiz emitidos pela Chunghwa Telecom (de Taiwan) e pela Netlock (da Hungria). Esta decisão poderá resultar em avisos de segurança para quem visitar sites que utilizem estes certificados.
O aviso "Ligação não privada" está a caminho
Segundo a gigante tecnológica, esta alteração deve-se a um padrão de falhas de conformidade e ao incumprimento de promessas de melhoria por parte destas duas autoridades certificadoras (CAs). "A confiança do Chrome na fiabilidade da Chunghwa Telecom e da Netlock como proprietárias de CA incluídas no Chrome Root Store diminuiu devido a padrões de comportamento preocupantes observados ao longo do último ano", pode ler-se no anúncio oficial no blog de segurança da Google. "Estes padrões representam uma perda de integridade e ficam aquém das expectativas, minando a confiança nestes proprietários de CA como emissores de certificados publicamente confiáveis por defeito no Chrome."
Consequentemente, a partir da data estipulada, os utilizadores do Google Chrome que acederem a páginas web protegidas por certificados destas entidades verão a mensagem "A sua ligação não é privada". Embora seja possível contornar este aviso, a experiência de navegação será interrompida, podendo gerar desconfiança nos visitantes.
Falhas de conformidade e promessas quebradas ditam decisão
A Google cita falhas contínuas de conformidade, compromissos de melhoria não cumpridos e uma falta de progresso mensurável como as principais razões para esta ação drástica. Ambas as entidades operam há anos como autoridades certificadoras públicas, com os seus certificados incluídos no Chrome Root Store, o que significa que o Chrome confiava neles por defeito para validar ligações HTTPS seguras.
Quem são a Chunghwa Telecom e a Netlock?
A Chunghwa Telecom é a maior fornecedora de telecomunicações de Taiwan, operando serviços de internet, móveis e de linha fixa. Gere autoridades certificadoras públicas denominadas ePKI e HiPKI, que emitem certificados digitais para comunicações web seguras.
Por sua vez, a Netlock é uma importante fornecedora húngara de serviços de certificação digital, incluindo assinaturas eletrónicas, selos temporais e certificados TLS/SSL. É particularmente conhecida pela sua raiz de certificação Arany (Gold Class), amplamente utilizada na Hungria e noutros países europeus.
Administradores de sites devem agir agora
A recomendação da Google para os administradores de websites impactados é clara: devem tomar medidas imediatas para mudar para uma autoridade certificadora confiável o mais rapidamente possível. Apesar de os certificados da Netlock e da Chunghwa Telecom emitidos até 31 de julho de 2025 continuarem a ser considerados confiáveis, a Google aconselha a não adiar a sua substituição, que se tornará inevitável.
Para empresas que necessitem, a Google refere que será possível contornar estas alterações de confiança através da instalação das raízes afetadas como localmente confiáveis.
Outros navegadores não serão afetados (por enquanto)
É importante notar que esta mudança não afetará o Microsoft Edge, o Mozilla Firefox ou o Apple Safari, uma vez que estes navegadores utilizam as suas próprias listas de confiança de certificados (trust stores).
Google aperta o cerco à segurança dos certificados
Esta não é a primeira vez que a Google toma uma atitude semelhante. Em junho de 2024, foi anunciada uma ação contra a Entrust, que entrou em vigor a 12 de novembro de 2024. Na altura, a justificação prendeu-se com o envolvimento da Entrust em múltiplos incidentes públicos que demonstraram falhas no cumprimento das normas de conformidade e segurança da indústria desde 2018, bem como a incapacidade de cumprir promessas de melhoria.
Em março de 2025, a Google já tinha sinalizado a sua intenção de apertar as normas, ao anunciar novos requisitos de segurança obrigatórios para todas as CAs que emitem certificados HTTPS/TLS publicamente confiáveis. Os casos da Chunghwa Telecom e da Netlock são, assim, os primeiros exemplos da aplicação destes critérios mais rigorosos, e é provável que mais se sigam no futuro.
Nenhum comentário
Seja o primeiro!