外媒:谷歌停止承認中共網站認證中心

谷歌宣佈Chrome和其他產品將不再承認由中國互聯網絡信息中心(CNNIC)發佈的安全證書。圖為谷歌關閉中國營運前,於北京的總部,谷哥已於2010年撤出中國。(AFP PHOTO/Franko Lee)
谷歌宣佈Chrome和其他產品將不再承認由中國互聯網絡信息中心(CNNIC)發佈的安全證書。圖為谷歌關閉中國營運前,於北京的總部,谷哥已於2010年撤出中國。(AFP PHOTO/Franko Lee)

【記者秦雨霏/編譯】
谷歌已經宣佈它的瀏覽器Chrome和其他產品將不再承認由中國互聯網絡信息中心(CNNIC)發佈的安全證書。CNNIC是一個監督中國域名註冊和管理的政府機構。網際網路自由倡導者認為,中共利用認證中心的權力啟動危險的攻擊。

美國資訊技術網站《TechCrunch》4月1日報導說,這件事情意義重大,因為CNNIC是中國的頂級域名.cn和中文域名註冊管理的最高管理機構。除非這些網站位於CNNIC向谷歌提供的白名單上,Chrome用戶將看到跳出的安全警告。

這個禁令發佈兩週前,CNNIC簽約外包的中間證書頒發機構MCS控股公司被發現發行了數個谷歌域名的假證書,此外有人利用自簽名的CNNIC證書對Github進行中間人攻擊,被指其攻擊來源與長城防火牆有關。

谷歌3月23日對此發佈聲明說,CNNIC將它們的實際控制權授予一個不合適的機構。在最新更新的公告中,谷歌宣佈它的產品不再承認CNNIC的安全證書。這個改變將在未來Chrome升級當中看到,但是谷歌將給予現有認證域名一段緩衝期。

受影響的域名包括中共政府運營的網站。谷歌還說歡迎CNNIC在更換合適的技術和程序控制之後再申請谷歌的認可。

對於谷歌公司的好言相勸,中共方面發佈一份聲明進行譴責,宣稱「谷歌作出的決定對CNNIC而言是不可接受、不可理解的」。

CNNIC還說:「對於CNNIC已經發佈證書的用戶們,我們保證你們的合法權利和利益將不會受到影響。」《金融時報》報導說,CNNIC殺氣騰騰的語氣暗示更高級別的政治手段已經捲入。

谷歌禁止CNNIC認證網站的決定相當不尋常。專家指出這是自從Mozilla在2011年發生安全入侵之後刪除荷蘭DigiNotar根證書之後,某個認證機構首次遭到類似懲罰。

然而谷歌的反應是有道理的,因為CNNIC在公鑰基礎設施當中扮演一個關鍵角色,這個公鑰基礎設施保護全世界的網站用戶的安全。通過把這個重要工作承包給第三方安全中心,CNNIC放棄了一定程度的控制,導致出現未經授權證書。

一名專家說,哪怕一個流氓就可以發佈虛假證書從而產生破壞性影響。虛假證書可以造成中間人攻擊。如果攻擊者手上擁有虛假證書,他就可以偽裝成任何人——就像護照顯示你的名字但是照片卻是另外一個人的臉。

中共惡意使用認證中心權力啟動危險攻擊

《金融時報》報導說,這場爭端對於CNNIC而言發生在一個特別敏感的時刻。上週位於舊金山的編碼共享網站Github受到網路攻擊。這個網站是軟體開發者的論壇,中國網路用戶也利用其中一些工具來繞過中共長城防火牆,而攻擊來源恰恰可能與長城防火牆有關。

一些中國網際網路自由倡導者早就敦促大型軟體提供商廢除CNNIC發佈的證書。

「我們一年多來一直呼籲這個行動,」巨火網站(GreatFire.org)創始人查理•史密斯說,「中共當局惡意使用他們作為認證中心的權力來啟動危險的攻擊,在許多外國媒體平台入侵敏感用戶資訊。」巨火網站監控中國網際網路審查。

然而Getlantern.org的安全專家Adam Fisk認為,谷歌的決定跟Github遭到的攻擊沒有直接關係。他說,Github受到的攻擊可能讓谷歌安全團隊更傾向於作出這個行動,但是虛假證書問題本身已經足以令谷歌作出這個決定。

自從谷歌搜索引擎2010年撤出中國大陸之後,中共跟谷歌的關係就躁動不安。去年大多數谷歌服務在中共被封鎖。
延伸閱讀
中共完全封鎖中文維基百科
2015年05月21日 | 9年前
中共完全封鎖中文維基百科
2015年05月21日 | 9年前
谷歌員工能享受哪些誘人津貼?
2015年05月10日 | 9年前
搶救穴鴞 科技人當志工清理環境
2015年04月23日 | 9年前
谷歌成華盛頓「大金主」
2015年04月22日 | 9年前
取消