گوگل اعلام کرد که دیگر به گواهی‌های ریشه CA امضا شده توسط Chunghwa Telecom و Netlock در Chrome Root Store اعتماد نخواهد کرد. این تصمیم به دلیل نقض‌های مکرر قوانین و عدم بهبود عملکرد این شرکت‌ها گرفته شده است.

این تغییر از نسخه ۱۳۹ گوگل کروم که قرار است در تاریخ ۱ آگوست ۲۰۲۵ منتشر شود، اعمال خواهد شد. گوگل دلایل این اقدام را نقض‌های مداوم قوانین، عدم پایبندی به تعهدات بهبود و نبود پیشرفت قابل اندازه‌گیری عنوان کرده است.

در اطلاعیه گوگل آمده است: “اعتماد کروم به قابلیت اطمینان Chunghwa Telecom و Netlock به عنوان مالکان CA در Chrome Root Store به دلیل الگوهای رفتاری نگران‌کننده مشاهده شده در سال گذشته کاهش یافته است. این الگوها نشان‌دهنده از دست رفتن یکپارچگی و عدم برآورده کردن انتظارات است که اعتماد به این مالکان CA را تضعیف کرده است.”

Chunghwa Telecom بزرگترین ارائه‌دهنده خدمات مخابراتی تایوان است که خدمات اینترنت، موبایل و تلفن ثابت ارائه می‌دهد. این شرکت یک مرجع صدور گواهی عمومی (CA) به نام‌های ePKI و HiPKI را اداره می‌کند که گواهی‌های دیجیتال برای ارتباطات امن وب صادر می‌کند.

Netlock یک ارائه‌دهنده مهم خدمات گواهی دیجیتال در مجارستان است که خدمات امضای الکترونیکی، مهر زمانی و گواهی‌های TLS/SSL ارائه می‌دهد. این شرکت بیشتر به خاطر Root CA طلایی (Arany) خود شناخته می‌شود که در مجارستان و سایر کشورهای اروپایی به طور گسترده استفاده می‌شود.

Chrome Root Store فهرستی از مراجع صدور گواهی معتبر است که توسط گوگل نگهداری می‌شود و کروم از آن برای اعتبارسنجی اتصالات HTTPS استفاده می‌کند.

از تاریخ ۱ آگوست ۲۰۲۵، گوگل کروم هنگام بازدید کاربران از وب‌سایت‌هایی که همچنان از گواهی‌های صادر شده توسط Chunghwa Telecom یا Netlock استفاده می‌کنند، پیام هشدار “اتصال شما خصوصی نیست” را نمایش خواهد داد.

اگرچه عبور از این صفحه هشدار امکان‌پذیر خواهد بود، اما این اقدام تجربه مرور روان را در سایت‌های متأثر مختل کرده و مشکلات اعتمادی برای بازدیدکنندگان ایجاد خواهد کرد. به همین دلیل، به مدیران وب‌سایت‌های متأثر توصیه می‌شود هرچه سریع‌تر به یک CA معتبر دیگر مهاجرت کنند.

در حالی که گواهی‌های Netlock و Chunghwa Telecom که تا ۳۱ ژوئیه ۲۰۲۵ امضا شده‌اند همچنان معتبر خواهند بود، توصیه می‌شود جایگزینی آنها به تعویق نیفتد.

گوگل اشاره می‌کند که سازمان‌های متأثر می‌توانند با نصب ریشه‌های متأثر به عنوان معتبر محلی، تغییرات اعتماد را نادیده بگیرند. لازم به ذکر است که این تغییر بر Microsoft Edge، Mozilla Firefox یا Apple Safari تأثیری نخواهد داشت، زیرا آنها از مخازن اعتماد مرورگر متفاوتی استفاده می‌کنند.

این اقدام جدید پس از اقدام مشابهی علیه Entrust صورت می‌گیرد که در ژوئن ۲۰۲۴ اعلام شد و از ۱۲ نوامبر ۲۰۲۴ اجرایی شد. در آن زمان، گوگل تصمیم خود را با اشاره به این که Entrust از سال ۲۰۱۸ در چندین حادثه افشا شده عمومی دخیل بوده که نشان می‌دهد در رعایت استانداردهای امنیتی و انطباق صنعت شکست خورده، توجیه کرد.

در مارس ۲۰۲۵، گوگل الزامات امنیتی جدید اجباری را برای همه CAهایی که گواهی‌های HTTPS/TLS عمومی معتبر صادر می‌کنند، اعلام کرد که نشان‌دهنده قصد آن برای سخت‌گیری در استانداردها و فشار بر CAها برای برآورده کردن سریع انتظارات انطباق در حال تکامل است.

موارد Chunghwa Telecom و Netlock اولین نمونه‌های اجرای این الزامات سخت‌گیرانه‌تر هستند و احتمالاً موارد بیشتری در آینده دنبال خواهند شد.