科技猎Google宣布旗下产品删除CNNIC根证书 CNNIC:难以理解
据悉,Chrome将释出更新移除对CNNIC证书的信任。为了减小客户收到的影响,Google将使用白名单允许在短时间内继续信任CNNIC现有的证书,CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。
Mozilla早在5年前就争论过CNNIC根证书的安全性,而促使Google此次痛下杀手的原因是埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。
根据最新Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的Sub CA证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
Chrome及Firefox默认会校验Mozilla及Google旗下所有的网站的证书,因此被Google发现并报告了该问题。
在媒体相继报道“CNNIC发布用于中间人攻击证书”事件后,CNNIC于3月25日首次发布了声明,内容如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。
而在4月1日Google更新博客,并确认旗下产品删除CNNIC 根证书后,CNNIC再次发布了官方声明,表示对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益,同时将保障已有用户的使用不受影响。
中国互联网络信息中心(China Internet Network Information Center,简称CNNIC)是经国家主管部门批准,于1997年6月3日组建的管理和服务机构,行使国家互联网络信息中心的职责。作为中国信息社会基础设施的建设者和运行者,中国互联网络信息中心(CNNIC)负责管理维护中国互联网地址系统,引领中国互联网地址行业发展,权威发布中国互联网统计信息,代表中国参与国际互联网社群。
有业内人士认为,CNNIC此次事件发生之后,可能影响国内用户对国产SSL证书的信心,很多企业将会继续偏向GlobalSign等国外品牌的SSL证书。
