4月1日Google更新安全博客宣布,旗下产品将删除CNNIC根证书。同时为尽可能减小用户受到的影响,Google将暂时使用白名单继续信任CNNIC现有的证书。
早在5年前Mozilla就争论过CNNIC根证书的安全性,而埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发假的证书,则是此次Google删除CNNIC根证书的导火索。CNNIC可在实现证书透明度和改进流程防止类似事故再次发生后,申请撤销Google这一决定。
根据最新Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的Sub CA证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
Chrome及Firefox默认会校验Mozilla及Google旗下所有的网站的证书,因此被Google发现并报告了该问题。
在媒体相继报道“CNNIC发布用于中间人攻击证书”事件后,CNNIC于3月25日首次发布了声明,内容如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。
在4月1号Google更新博客宣布旗下产品删除CNNIC根证书后,CNNIC也发布了官方声明,主要以下两点。一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。二、CNNIC将切实保障已有用户的使用不受影响。
CNNIC(China Internet Network Information Center,即中国互联网络信息中心)是于1997年6月3日成立,经国家部门批准组建的管理和服务机构,行使国家互联网络信息中心的职责。作为中国信息社会基础设施的运行者和建设者,CNNIC引领中国互联网地址行业发展,管理和维护中国互联网地址系统,发布中国互联网统计数据和代表中国参与国际互联网社群等。
有业内人士认为,CNNIC此次事件发生之后,可能影响国内用户对国产SSL证书的信心,很多企业将会继续偏向GlobalSign等国外品牌的SSL证书。
来源:Bianews
