Expulsados con motivo: por qué Google eliminó a Chunghwa y Netlock del Chrome Root Store

A partir del 1 de agosto de 2025, el navegador Google Chrome dejará de confiar automáticamente en los certificados digitales emitidos por dos importantes autoridades certificadoras: Chunghwa Telecom y Netlock. Esta decisión se debe a múltiples violaciones de las normas y al incumplimiento de compromisos de mejora por parte de ambas organizaciones, según lo anunciado oficialmente por la compañía.

Google señala que la confianza en estas autoridades certificadoras se ha visto gravemente deteriorada tras un año de incumplimientos continuos, falta de transparencia y ausencia de avances verificables. El comunicado subraya que este tipo de comportamiento no cumple con las expectativas establecidas para los CA públicos, cuyas certificaciones son consideradas confiables por defecto en Chrome.

Chunghwa Telecom es el mayor proveedor de telecomunicaciones de Taiwán y gestiona los CA públicos ePKI y HiPKI, que emiten certificados para el cifrado del tráfico HTTPS. La empresa húngara Netlock es conocida por ofrecer firmas digitales, sellos de tiempo y certificados SSL, incluido el popular certificado raíz Arany (Gold Class) Root CA en Europa.

Ambas organizaciones han formado parte durante años del listado de autoridades de certificación confiables del Chrome Root Store — el repositorio interno de certificados raíz que Chrome usa para verificar conexiones seguras. Ahora, tras ser eliminadas de este repositorio, todos los sitios que utilicen sus certificados mostrarán el aviso de "Tu conexión no es privada".

Aunque los usuarios aún podrán omitir manualmente esta advertencia y continuar navegando, visitar sitios con certificados no reconocidos afectará negativamente la experiencia del usuario y socavará la confianza en dichos servicios. Por ello, se recomienda a los administradores reemplazar los certificados actuales por otros emitidos por CA reconocidas lo antes posible.

Los certificados de Chunghwa Telecom y Netlock emitidos antes del 31 de julio de 2025 seguirán siendo válidos en Chrome hasta su fecha de expiración. Sin embargo, Google recomienda no esperar y proceder con la sustitución, ya que cualquier nuevo certificado emitido por estas entidades a partir del 1 de agosto será rechazado por el navegador.

Para entornos corporativos, Google permitirá agregar manualmente certificados al listado de confianza a nivel del sistema local, lo que permitirá mantener la compatibilidad con recursos internos.

Es importante destacar que este cambio solo afectará a los usuarios de Google Chrome. Navegadores como Microsoft Edge, Mozilla Firefox y Apple Safari utilizan sus propios almacenes de certificados raíz, por lo que su comportamiento no se verá alterado automáticamente.

La eliminación de Chunghwa Telecom y Netlock representa una continuación de la política estricta de Google para ordenar el ecosistema de los CA públicos. Anteriormente, se tomaron medidas similares contra Entrust en junio de 2024, con vigencia a partir de noviembre. En esa ocasión, Google citó una serie de incidentes relacionados con el incumplimiento de estándares de seguridad desde 2018 y la incapacidad de Entrust para demostrar mejoras.

En marzo de 2025, Google anunció nuevos requisitos obligatorios para todas las autoridades certificadoras que emiten certificados HTTPS/TLS, subrayando su intención de elevar los estándares de confianza. Los casos de Chunghwa Telecom y Netlock son los primeros ejemplos prácticos de estos cambios — y probablemente no serán los últimos. Problemas similares con autoridades certificadoras han surgido en el pasado, lo que resalta la importancia de una supervisión rigurosa por parte de los navegadores. La historia muestra casos en los que CA chinas emitieron por error certificados para dominios ajenos, y las aplicaciones modernas dependen cada vez más de la verificación de la cadena de certificados para garantizar la seguridad.