구글이 인증 기관(CA)으로 인증서 발행을 담당하는 보안 기업 엔트러스트(Entrust)가 인증 기관 소유자로서의 능력, 신뢰성 및 완전성에 대한 신뢰를 손상시켰다고 판단해 10월 31일 이후 발행되는 엔트러스트 인증서를 구글 크롬에서 기본적으로 수락하지 않고 차단할 방침이라고 밝혔다.
구글은 인증 기관에 대해 브라우저와 웹사이트간 암호화된 연결을 지원하는 인터넷상 특권적이고 신뢰할 수 있는 역할을 수행하는 존재라고 설명하며 무거운 책임을 지는 만큼 합리적이고 합의를 바탕으로 한 보안 및 컴플라이언스 요구 사항을 따를 것으로 기대된다고 표현했다.
하지만 구글은 엔트러스트가 지난 6년간 법령 준수 불이행, 개선 목표 미달성, 공개된 사고 보고에 대한 구체적이고 측정 가능한 진전 부재 등을 반복했으며 공적으로 신뢰받는 각 인증 기관이 인터넷 생태계에 초래하는 고유한 위험을 고려할 때 구글 크롬이 엔트러스트를 계속 신뢰할 근거가 더 이상 없다고 지적했다.
구글 크롬 127 이상 버전에서는 엔트러스트의 서명된 인증서 타임스탬프가 10월 31일 이후인 TLS 서버 인증 인증서를 기본적으로 신뢰하지 않기로 결정됐다. 차단 조치는 11월 1일 이후 점진적으로 윈도, 맥OS, 크롬OS, 안드로이드, 리눅스에 적용될 예정이다.
한편 iOS 버전이 포함되지 않은 이유는 애플 정책에 따라 독자적인 루트 CA 목록(Chrome Certificate Verifier, Chrome Root Store) 사용이 금지되어 있기 때문이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.