繼Chrome之後 火狐也拒絕中共數位認證
火狐、Chrome拒絕中共數位認證 影響10億中國網民
《明報》4日報導,這兩家瀏覽器在全球約10億用戶,包括中國4億人在內,其中Chrome用戶約3.4億人,火狐用戶在800萬左右。兩家在全球瀏覽器市場占有率在微軟Internet Explorer之後分別排為第二和第三。現在使用火狐或Chrome,瀏覽帶有CNNIC頒發證書的網站時將受到安全警告。事件或影響數以萬計客戶資料需要加密的銀行或電子商務公司等網站。
目前,只要用Google Chrome瀏覽含有CNNIC頒發證書的以「.cn」結尾的域名和所有中文域名的網站,均會顯示不受信任的安全警告。作為過渡,Google暫時允許用戶選擇忽略警告、繼續瀏覽此類網站。
CNNIC是負責管理維護中國網際網路域名系統的國家機構,成立於1997年的。最初的主管部門為中國科學院,2014年12月26日調整為「中央網路安全和信息化領導小組辦公室、國家互聯網信息辦公室」;組長為國家主席習近平;辦公室主任是被稱為中國網際網路「大管家」的魯煒。
頒發證書可攻擊Google
對於Google公司為何取消信任CNNIC的數位認證?明報報導,這是由於Google早前發現CNNIC頒發了多個針對Google域名的用於中間人攻擊(MITM)的證書。埃及一家名為MCS集團的中級證書頒發機構,發行了多個這些證書冒充成受信任的Google的域名,被用於部署到網路防火牆中,用於劫持所有處於該防火牆後的HTTPS網路通訊,成功繞過了瀏覽器的警告。MCS集團的中級證書則來自中國的CNNIC。
Google:該機構發出的證書不可信任
香港網路安全專家楊和生向明報披露,CNNIC作為一個頒發證書的機構,此前曾將一個認證Google的信任證書發給了Google以外的公司,令該公司能夠冒認Google的網站,Google用戶就可能會登入該網站洩露個人資料。因此Google通過瀏覽器發出警告,告知用戶,該網站使用的是一張假證書。Google認為,CNNIC如此輕易發出信任證書,因此認為該機構發出的證書不可信任。
Google堅持全面吊銷CNNIC證書
3月23日,Google在其網路安全部落格中披露此事件。總部設於美國紐約的保護記者委員會的安全及監察專家羅文收(Tom Lowenthal)表示,CNNIC這種做法嚴重打擊了公眾的信任。他說:「此類故意違規,對一些用戶造成潛在的嚴重危害,例如需要和消息人士聯絡的記者。」CNNIC於兩天後發表聲明承認,CNNIC伺服器證書業務合作方MCS公司,確認其不當簽發的測試證書僅用於其實驗室內部測試。聲明同時稱,CNNIC已於3月22日撤銷對MCS公司的業務授權。
但Google經過聯合調查後,還是作出了其旗下產品中全面吊銷CNNIC證書的決定。