扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
据国内媒体报道:谷歌4月1日更新了安全博客,宣布旗下产品将删除中国互联网信息中心(CNNIC)数字证书。而Firefox(火狐浏览器)也发布了类似声明。
Google与火狐先后发表声明称,它们旗下的浏览器,将停止信任来自中国互联网络信息中心(CNNIC)颁发的数字证书。而中国互联网信息中心(CNNIC)目前是中国最大的数字证书颁发机构。
Google表示,为缩小因此项决议受到影响的客户范围,将在限定时间内把CNNIC现有证书拉入白名单保持继续信任,而CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。
此外,火狐也发表了CNNIC重新申请其授权许可的声明。火狐表示,如果CNNIC满足了Google和火狐提出的要求,这些限制将会被取消。
此举意味着,对于存在货币交易的网站而言,将停止运营(任何与此授权证书相关的银行或是商业网站都将因为没有安全许可而停止转账)。
事实上,Google并未透露该项措施的具体实施时间。有业内人士认为,这将为即将受到影响的网站提供充足时间来更换授权机构。
根据最新Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书来自CNNIC与某个公司的一项合同,合同规定该公司仅用CNNIC提供的Sub CA证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
在Google确认旗下产品删除CNNIC数字证书后,CNNIC也发布了官方声明,表示对谷歌公司做出的决定表示难以理解和接受,敦促谷歌公司充分考虑和保障用户权益,同时将保障已有用户的使用不受影响。
有业内人士认为,此次事件发生后,可能影响国内用户对国产SSL证书的信心,很多企业将会继续偏向GlobalSign等国外品牌的SSL证书。
同时微构网络通过新浪微博看到cnnic发布的声明,主体意思是指自己并没有摊上这事儿,而且与被涉及的公司业务开始终端,声明全文如下:
3月24日,有关媒体发布“谷歌称CNNIC发布用于中间人攻击证书”的报道,CNNIC声明如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。中国互联网络信息中心(CNNIC)
2015年3月25日
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流