新闻来源: 明报 继Google周三宣布,该公司旗下的Google Chrome浏览器停止信任由中国互联网信息中心(CNNIC)发出的数码证书后,旗下拥有Firefox(火狐)浏览器的MOZILLA公司周四也宣布,停止信任CNNIC的网络数码证书。目前,包括内地近4亿人在内,这两家浏览器在全球约10亿用户,在浏览带有CNNIC颁发证书的网站时将受到安全警告。事件或影响数以万计客户资料需要加密的银行或电子商贸公司等网站。CNNIC发出声明称,难以理解和接受Google作出的决定。 以安全见称的Google chrome 及Firefox,是继微软Internet Explorer(IE)之后,在全球浏览器市场佔有率分别达20.57%和13.26%,排名第二及第三的浏览器产品。这两大浏览器的用户全球在10亿人左右;在内地,CHROME的用户约有3.4亿人,FIREFOX用户数量在800万左右。
: c- I/ n3 B! n; W3 b8 g$ t6 s/ H. Y; | x: V
颁发证书可攻击Google
% k* H6 N8 B5 w8 B7 |1 i
( u+ m: J* V. U$ u; R; X 据了解,Google公司取消信任CNNIC的数码证书,是由于Google早前发现CNNIC颁发了多个针对Google域名的用于中间人攻击的证书。埃及一家名为MCS集团的中级证书颁发机构,发行了多个Google域名的假证书,而MCS集团的中级证书则来自中国的CNNIC。这些证书冒充成受信任的Google的域名,被用于部署到网路防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,成功绕过了浏览器的警告。CNNIC是负责管理维护中国互联网域名系统的国家机构。. s( r$ m# ~. T* ^
( X; @, {' a; x1 Y, k: l 上月23日,Google在其网络安全博客中披露此事件。总部设于美国纽约的保护记者委员会的安全及监察专家Tom Lowenthal表示,CNNIC这种做法严重打击了公众的信任。他说:「此类故意违规对一些用户造成潜在的严重危害,例如需要和消息人士联络的记者。」 b$ Y1 V3 Z7 T" S3 Q8 i8 k5 ?& k) \1 A
% t& U5 z* J- t6 Q; l1 O. J- ~) r4 s CNNIC于两天后发表声明承认,CNNIC伺服器证书业务合作方MCS公司,确认其不当签发的测试证书仅用于其实验室内部测试。声明同时称,CNNIC已于3月22日撤销对MCS公司的业务授权。
' l3 Q" [( K; c4 |5 p# b/ f; |
, \0 I4 z6 ^+ m2 \9 j4 \) }9 p 暂允忽略警告续浏览( x, U/ i$ P* ^$ t2 S
5 N- d: F, [$ _7 W7 w( O7 ` 话虽如此,Google经过联合调查后,还是作出了其旗下产品中全面吊销CNNIC证书的决定。换言之,只要用Google Chrome浏览含有CNNIC颁发证书的以「.cn」结尾的域名和所有中文域名的网站,均会显示不受信任的安全警告。作为过渡,Google暂时允许用户拥有选择忽略警告、继续浏览此类网站。 《华尔街日报》称,「这一变动将会影响到那些加密的中国网站」,包括网址以「https」开头、「.cn」结尾的电子邮箱、网购服务等需要用户个人信息和密码的网站
, G8 L/ F: T! k5 A5 t! i" u
" m- g/ G# |6 [ |