本帖最后由 haierccc 于 2019-11-28 18:51 编辑
原文链接:http://www.yunjuu.com/info/334769.html
谷歌宣布,其网页浏览器Chrome和其他产品将不再承认中国互联网信息中心(CNNIC)颁发的安全证书,CNNIC是中国域名注册管理的政府机构,它管理.cn国家代码的安全证书,以及对在中国注册的企业注册中文域名。
两周前,谷歌注意到,多个谷歌域名的数字证书未经授权,这些证书是由中国互联网络信息中心(CNNIC)签约的中间证书认证机构MCS Holdings颁发的。
CNNIC向谷歌解释说,MCS Holdings没有将证书的私钥置于安全的硬件模块之中,而是将其安装于中间人代理,使其极易被拦截。
“这一解释与事实相符。不过,CNNIC仍将其实质性的权力下放给了一个不适合担任其职务的组织,”谷歌在3月23日发表在其在线安全博客上的关于这一问题的第一篇文章中表示。
在同一帖子的最新更新中,谷歌宣布其产品将不再承认CNNIC的安全证书。
该变化将在未来的Chrome更新中看到,尽管该公司将给予CNNIC认证的合法域名。
“为了帮助受此决定影响的客户,在有限的时间内,我们将允许CNNIC现有的证书继续被标记为Chrome可信的,通过使用公开披露的白名单。”
谷歌补充称,“我们赞赏CNNIC采取的主动措施,并欢迎他们在适当的技术和程序控制到位后重新向谷歌申请。”
不过,这并没有安抚这家中国机构,该机构在其网站上发表声明,宣称“谷歌做出的决定是CNNIC无法接受和理解的,同时CNNIC真诚敦促谷歌充分考虑用户的权益”
并补充“对于CNNIC已经颁发证书的用户,我们保证您的合法权益不受影响。”
谷歌禁止CNNIC认证网站的决定非常不寻常。Ars Technica指出,这是自2011年Mozilla因安全漏洞删除位于荷兰的DigiNotar根证书以来,证书颁发机构首次受到类似处罚。
尽管谷歌的决定看起来有些过激,但这是有道理的,因为CNNIC在保护全球网站安全和用户的公钥基础设施中发挥着关键作用。
正如TomLowenthal在保护记者博客委员会(Committee to Protect Journalist's blog)上所写,“流氓CA会发布虚假的证书,造成毁灭性的影响。假凭证允许所谓的中间人(MiM)攻击。有了假凭证,攻击者就可以冒充为其颁发证书的人,就像一本护照,上面显示的是您的姓名,而不是其他人的脸。”
这是一篇2015年的文章了,偶然发现,翻译与此。不知道现在怎样了。
CNNIC作为根CA,居然把自己的私钥交给了二级CA。。。。
|
收藏
转播
