Бан по делу: за что Google вычеркнул Chunghwa и Netlock из Chrome Root Store

С 1 августа 2025 года браузер Google Chrome перестанет автоматически доверять цифровым сертификатам, выпущенным двумя крупными удостоверяющими центрами — Chunghwa Telecom и Netlock. Такое решение связано с серией нарушений правил и невыполнением обязательств по улучшению процессов со стороны обеих организаций. Об этом сообщается в официальном уведомлении компании.

Google отмечает , что доверие к этим удостоверяющим центрам серьёзно подорвано после года регулярных несоответствий требованиям, недостаточной прозрачности и отсутствия видимого прогресса. В сообщении подчёркивается, что подобное поведение несовместимо с ожиданиями, предъявляемыми к публичным УЦ, сертификаты которых по умолчанию считаются надёжными в Chrome.

Chunghwa Telecom — крупнейший тайваньский телекоммуникационный провайдер, управляющий публичными удостоверяющими центрами ePKI и HiPKI, с помощью которых выпускаются сертификаты для шифрования трафика HTTPS. Венгерская компания Netlock известна как поставщик цифровых подписей, отметок времени и SSL-сертификатов, в том числе популярного в Европе корневого сертификата Arany (Gold Class) Root CA.

Обе организации на протяжении многих лет входили в список доверенных удостоверяющих центров в Chrome Root Store — внутреннем реестре Google, где хранятся корневые сертификаты, которым браузер доверяет при проверке защищённых соединений. Теперь же, после удаления этих УЦ из Chrome Root Store, все сайты, использующие их сертификаты, будут вызывать предупреждение «Ваше соединение не защищено».

Хотя пользователи по-прежнему смогут вручную обойти это предупреждение и продолжить просмотр, посещение сайтов с неподдерживаемыми сертификатами приведёт к сбоям в пользовательском опыте и подорванному доверию. Чтобы избежать таких проблем, администраторам ресурсов рекомендуется как можно скорее заменить текущие сертификаты на выпущенные другим, признанным УЦ.

Сертификаты Chunghwa Telecom и Netlock, выданные до 31 июля 2025 года, сохранят свою валидность в Chrome до окончания срока действия. Однако Google настоятельно рекомендует не откладывать их замену, поскольку любые новые сертификаты от этих УЦ, начиная с 1 августа, будут отклоняться браузером.

Для корпоративных сред Google оставляет возможность вручную добавлять сертификаты в список доверенных на уровне локальной системы, что позволит сохранить совместимость для внутренних ресурсов.

Важно отметить, что это изменение затронет только пользователей Google Chrome. Браузеры Microsoft Edge, Mozilla Firefox и Apple Safari используют собственные хранилища доверенных корневых сертификатов, поэтому их поведение не изменится автоматически.

Удаление Chunghwa Telecom и Netlock — это продолжение жёсткой линии Google по наведению порядка в экосистеме публичных УЦ. Ранее аналогичные меры были приняты в отношении компании Entrust в июне 2024 года, с вступлением в силу в ноябре. Тогда Google указывала на серию инцидентов, указывающих на несоблюдение стандартов безопасности с 2018 года, а также на неспособность Entrust продемонстрировать улучшения.

В марте 2025 года Google объявила о введении новых обязательных требований для всех удостоверяющих центров, выпускающих HTTPS/TLS-сертификаты, и подчеркнула намерение повысить стандарты доверия. Случаи Chunghwa Telecom и Netlock стали первыми практическими примерами этих нововведений — и, как предполагается, не последними. Подобные проблемы с удостоверяющими центрами уже возникали ранее, что подчёркивает важность строгого контроля со стороны браузеров. История знает случаи, когда китайские УЦ ошибочно выдавали сертификаты для чужих доменов, а современные приложения всё больше полагаются на проверку цепочек сертификатов для обеспечения безопасности.