谷歌已经其产品将不再承认由中国互联网络信息中心（CNNIC）发布的安全证书

美国信息技术网站《TechCrunch》4月1日报导说，这件事情意义重大，因为CNNIC管理.cn国家代码的安全证书以及中文域名。除非这些网站位于CNNIC向谷歌提供的白名单上，Chrome用户将看到跳出的安全警告。

这个禁令发布两周前，谷歌注意到几款未经授权数字证书，它们是由MCS控股公司发布。该公司是CNNIC签约外包的中间证书颁发机构。

谷歌3月23日对此发布声明说，CNNIC将它们的实质权限授予一个不合适的机构。

在最新更新的公告中，谷歌宣布它的产品不再承认CNNIC的安全证书。这个改变将在未来Chrome升级当中看到，但是谷歌将给予现有认证域名一段缓冲期。

受影响的域名包括中共政府运营的网站。

谷歌还说欢迎CNNIC在更换合适的技术和程序控制之后再申请谷歌的认可。

这并不能抚慰中共机构的愤怒。中共方面发布一份声明，宣称“谷歌作出的决定对CNNIC而言不可接受、不可理解。

CNNIC还说：“对于CNNIC已经发布证书的用户们，我们保证你们的合法权利和利益将不会受到影响。”《金融时报》报导说，CNNIC的杀气腾腾的语气暗示更高级别的政治手段已经卷入。

谷歌禁止CNNIC认证网站的决定相当不寻常。专家指出这是自从Mozilla在2011年发生安全入侵之后删除荷兰DigiNotar根证书之后某个认证中心首次遭到类似惩罚。

然而谷歌的反应是有道理的，因为CNNIC在公钥基础设施当中扮演一个关键角色，这个公钥基础设施保护全世界的网站安全和用户。通过把这个重要工作承包给第三方安全中心，CNNIC放弃了一定程度的控制，导致出现未经授权证书。

一名专家说，哪怕一个流氓就可以发布虚假证书从而产生破坏性影响。虚假证书可以造成中间人攻击。如果攻击者手上拥有虚假证书，他就可以伪装成任何人——就像护照显示你的名字但是照片却是另外一个人的脸。

中共恶意使用认证中心权力启动危险攻击

《金融时报》报导说，这场争端对于CNNIC而言发生在一个特别敏感的时刻。上周位于旧金山的编码共享网站Github受到网络攻击。这个网站是软件开发者的论坛，中国互联网用户也利用其中一些工具来绕过中共长城防火墙。

这次攻击似乎源自于中国，并且着重于中国互联网基础设施的安全架构。

一些中国互联网自由倡导者早就敦促大型软件提供商废除CNNIC发布的证书。

“我们一年多来一直呼吁这个行动，”巨火网站创始人查理•史密斯说，“中共当局恶意使用他们作为认证中心的权力来启动危险的攻击，在许多外国媒体平台入侵敏感用户信息。”巨火网站监控中国互联网审查。

然而Getlantern.org的安全专家Adam Fisk认为，谷歌的决定跟Github遭到的攻击没有直接关系。

他说，Github受到的攻击可能让谷歌安全团队更倾向于作出这个行动，但是虚假证书问题本身已经足以令谷歌作出这个决定。

自从谷歌搜索引擎2010年撤出中国大陆之后，中共跟谷歌的关系就躁动不安。去年大多数谷歌服务在中共被屏蔽。

• 谷歌的CEO真以为自己是政治家了。跟人家政府斗。顶多结果是chrome将被踢出中国。firefox等将成为中国生产智能设备的首选 -姚言- ♂ (0 bytes) () 04/02/2015 postreply 19:25:11