掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
據(jù)國內(nèi)媒體報道:谷歌4月1日更新了安全博客,宣布旗下產(chǎn)品將刪除中國互聯(lián)網(wǎng)信息中心(CNNIC)數(shù)字證書。而Firefox(火狐瀏覽器)也發(fā)布了類似聲明。
Google與火狐先后發(fā)表聲明稱,它們旗下的瀏覽器,將停止信任來自中國互聯(lián)網(wǎng)絡信息中心(CNNIC)頒發(fā)的數(shù)字證書。而中國互聯(lián)網(wǎng)信息中心(CNNIC)目前是中國最大的數(shù)字證書頒發(fā)機構(gòu)。
Google表示,為縮小因此項決議受到影響的客戶范圍,將在限定時間內(nèi)把CNNIC現(xiàn)有證書拉入白名單保持繼續(xù)信任,而CNNIC在實現(xiàn)證書透明度和改進流程防止未來再次發(fā)生類似事故后可以提出撤銷這一決定的申請。
此外,火狐也發(fā)表了CNNIC重新申請其授權(quán)許可的聲明?;鸷硎荆绻鸆NNIC滿足了Google和火狐提出的要求,這些限制將會被取消。
此舉意味著,對于存在貨幣交易的網(wǎng)站而言,將停止運營(任何與此授權(quán)證書相關的銀行或是商業(yè)網(wǎng)站都將因為沒有安全許可而停止轉(zhuǎn)賬)。
事實上,Google并未透露該項措施的具體實施時間。有業(yè)內(nèi)人士認為,這將為即將受到影響的網(wǎng)站提供充足時間來更換授權(quán)機構(gòu)。
根據(jù)最新Mozilla安全博客的博文,CNNIC被發(fā)現(xiàn)頒發(fā)了用于中間人攻擊的證書。該證書來自CNNIC與某個公司的一項合同,合同規(guī)定該公司僅用CNNIC提供的Sub CA證書簽發(fā)屬于自己公司名下的網(wǎng)站。但被Google發(fā)現(xiàn)該證書被用于部署到防火墻中,用于劫持該網(wǎng)絡中的所有HTTPS通信。
在Google確認旗下產(chǎn)品刪除CNNIC數(shù)字證書后,CNNIC也發(fā)布了官方聲明,表示對谷歌公司做出的決定表示難以理解和接受,敦促谷歌公司充分考慮和保障用戶權(quán)益,同時將保障已有用戶的使用不受影響。
有業(yè)內(nèi)人士認為,此次事件發(fā)生后,可能影響國內(nèi)用戶對國產(chǎn)SSL證書的信心,很多企業(yè)將會繼續(xù)偏向GlobalSign等國外品牌的SSL證書。
同時微構(gòu)網(wǎng)絡通過新浪微博看到cnnic發(fā)布的聲明,主體意思是指自己并沒有攤上這事兒,而且與被涉及的公司業(yè)務開始終端,聲明全文如下:
3月24日,有關媒體發(fā)布“谷歌稱CNNIC發(fā)布用于中間人攻擊證書”的報道,CNNIC聲明如下:
1、CNNIC未發(fā)布用于中間人攻擊的證書,谷歌博客近日也未指責是CNNIC發(fā)布了用于中間人攻擊的證書。
2、CNNIC 服務器證書業(yè)務合作方MCS公司確認其不當簽發(fā)的測試證書僅用于其實驗室內(nèi)部測試。
3、CNNIC已于3月22日撤銷對MCS公司的業(yè)務授權(quán)。
4、CNNIC保留追究法律責任的權(quán)利。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)
2015年3月25日
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流