紧随谷歌 火狐也拒中共数位认证

【新唐人2015年4月6讯】据大纪元电子报4月6日的报导,继Google周三(1日)宣布,该公司旗下的Google Chrome浏览器停止信任由中国互联网信息中心(CNNIC)发出的数位认证后,旗下拥有Firefox(火狐)浏览器的MOZILLA公司周四(2日)也宣布,停止信任CNNIC的网路数位认证。

火狐Chrome拒绝中共数位认证 影响10亿中国网民

《明报》4日报导,这两家浏览器在全球约10亿用户,包括中国4亿人在内,其中Chrome用户约3.4亿人,火狐用户在800万左右。两家在全球浏览器市场占有率在微软Internet Explorer之后分别排为第二和第三。

现在使用火狐或Chrome,浏览带有CNNIC颁发证书的网站时将受到安全警告。事件或影响数以万计客户资料需要加密的银行或电子商务公司等网站。

目前,只要用Google Chrome浏览含有CNNIC颁发证书的以“.cn”结尾的域名和所有中文域名的网站,均会显示不受信任的安全警告。作为过渡,Google暂时允许用户选择忽略警告、继续浏览此类网站。

CNNIC是负责管理维护中国网际网路域名系统的国家机构,成立于1997年的。最初的主管部门为中国科学院,2014年12月26日调整为“中央网路安全和信息化领导小组办公室、国家互联网信息办公室”;组长为国家主席习近平;办公室主任是被称为中国网际网路“大管家”的鲁炜。

颁发证书可攻击Google

对于Google公司为何取消信任CNNIC的数位认证?明报报导,这是由于Google早前发现CNNIC颁发了多个针对Google域名的用于中间人攻击(MITM)的证书。

埃及一家名为MCS集团的中级证书颁发机构,发行了多个这些证书冒充成受信任的Google的域名,被用于部署到网路防火墙中,用于劫持所有处于该防火墙后的HTTPS网路通讯,成功绕过了浏览器的警告。MCS集团的中级证书则来自中国的CNNIC。

Google:该机构发出的证书不可信任

香港网路安全专家杨和生向明报披露,CNNIC作为一个颁发证书的机构,此前曾将一个认证Google的信任证书发给了Google以外的公司,令该公司能够冒认Google的网站,Google用户就可能会登入该网站泄露个人资料。因此Google通过浏览器发出警告,告知用户,该网站使用的是一张假证书。

Google认为,CNNIC如此轻易发出信任证书,因此认为该机构发出的证书不可信任。

Google坚持全面吊销CNNIC证书

3月23日,Google在其网路安全部落格中披露此事件。总部设于美国纽约的保护记者委员会的安全及监察专家罗文收(Tom Lowenthal)表示,CNNIC这种做法严重打击了公众的信任。他说:“此类故意违规,对一些用户造成潜在的严重危害,例如需要和消息人士联络的记者。”

CNNIC于两天后发表声明承认,CNNIC服务器证书业务合作方MCS公司,确认其不当签发的测试证书仅用于其实验室内部测试。声明同时称,CNNIC已于3月22日撤销对MCS公司的业务授权。

但Google经过联合调查后,还是作出了其旗下产品中全面吊销CNNIC证书的决定。

相关文章
评论
新版即将上线。评论功能暂时关闭。请见谅!