谷歌宣布停止信任 CNNIC 颁发的安全证书

谷歌 宣布 ，其网络浏览器 Chrome 及其它产品将不再信任 CNNIC （即中国互联网络信息中心，管理监督中国域名注册的政府机构）颁发的安全证书。

此举之所以引人注目，是因为 CNNIC 负责管理的是“.cn”国家代码以及中国境内登记企业可注册的中文域名的安全证书。

除非这些网站登记在 CNNIC 提供给谷歌的合法域名白名单上，否则的话 Chrome 用户访问时就会看到弹出窗口，警告他们该网站存在安全隐患（尽管他们也可以选择忽略并继续前往该网站）。

回溯到两周前，谷歌发现了数个谷歌域名的未经授权数字证书，由 MCS 集团 （MCS Holdings）签发，而 MCS 集团是 CNNIC 签约的一家中间证书颁发机构。

CNNIC 向谷歌解释称，MCS 集团没有将安全证书的私钥安全地保管在适当的硬件安全模块中，而是安装在中间人代理上，致使安全证书极易遭到劫持。

“这一解释符合事实。但 CNNIC 仍然将大量权力授予了这家不适合持有授权权力的机构，”谷歌 3 月 23 日在其网络安全博客中发表的第一篇关于这一事件的日志 中这样表示。

（位于埃及的 MCS 集团 由于人为失误 及意外对私钥管理不当。）

谷歌在同一篇日志的更新中宣布其产品将不再信任 CNNIC 的安全证书。

Chrome 接下来升级后这一改变就会生效，不过谷歌公司将给予 CNNIC 认证的合法域名一段宽限时期：“为了帮助受此决定影响的客户，我们将通过公开披露的白名单的方式，在有限的时间内允许 CNNIC 现有证书继续在 Chrome 中标记为可信任。”

这里面包括了中国政府运营的网站。

谷歌补充道，“我们对 CNNIC 的积极措施表示赞赏，并欢迎他们在采取适当的技术和程序控制措施后重新申请认证。”

然后此番言论并没有平息这家中国机构的愤怒，CNNIC 在其网站上 发表声明 宣称“CNNIC 对谷歌公司做出的决定表示难以理解和接受，并敦促谷歌公司充分考虑和保障用户权益。”

CNNIC 补充道“对于已经收到 CNNIC 颁发证书的用户，我们将切实保障你们的合法权益不受影响。”

谷歌暂时封杀 CNNIC 的决定相对而言并不常见。 ArsTechnica 指出 ，这是自 2011 年荷兰公司 DigiNotar 因安全漏洞而被 Mozilla 移除根证书 之来，第一次一家证书颁发机构遭遇类似的惩罚措施。

不过谷歌的这一反应也在情理之中，毕竟 CNNIC 在保护全球网站和用户安全的公钥基础设施中扮演着举足轻重的角色。CNNIC 将授权工作下放给第三方安全机构，对于关键的控制层放任不管，从而造成了未经授权证书的出现。

正如汤姆·洛文塔尔（Tom Lowenthal） 在“保护记者委员会”（Committeeto Protect Journalist）博客中写的那样 ，“即使是一个流氓证书颁发机构也可能会颁发出造成破坏性影响的虚假凭证。虚假凭证会给予所谓的中间人攻击以可乘之机。掌握了虚假凭证，攻击者就能伪装成这一证书颁发的任何对象——就像写着你名字却贴着其他人照片的护照那样。”

题图来自： SHUTTERSTOCK

翻译：顾秋实

Google Bans China’s Website Certificate Authority After Security Breach