繼Google周三宣布,該公司旗下的Google Chrome瀏覽器停止信任由中國網際網路信息中心(CNNIC)發出的數碼證書後,旗下擁有Firefox(火狐)瀏覽器的MOZILLA公司周四也宣布,停止信任CNNIC的網絡數碼證書。目前,包括大陸近4億人在內,這兩家瀏覽器在全球約10億用戶,在瀏覽帶有CNNIC頒發證書的網站時將受到安全警告。事件或影響數以萬計客戶資料需要加密的銀行或電子商貿公司等網站。CNNIC發出聲明稱,難以理解和接受Google作出的決定。
以安全見稱的Google chrome及Firefox,是繼微軟Internet Explorer(IE)之後,在全球瀏覽器市場佔有率分別達20.57%和13.26%,排名第二及第三的瀏覽器產品。這兩大瀏覽器的用戶全球在10億人左右;在大陸,CHROME的用戶約有3.4億人,FIREFOX用戶數量在800萬左右。
頒發證書可攻擊Google
據了解,Google公司取消信任CNNIC的數碼證書,是由於Google早前發現CNNIC頒發了多個針對Google域名的用於中間人攻擊的證書。埃及一家名為MCS集團的中級證書頒發機構,發行了多個Google域名的假證書,而MCS集團的中級證書則來自中國的CNNIC。這些證書冒充成受信任的Google的域名,被用於部署到網路防火牆中,用於劫持所有處於該防火牆後的HTTPS網絡通信,成功繞過了瀏覽器的警告。CNNIC是負責管理維護中國網際網路域名系統的國家機構。
上月23日,Google在其網絡安全博客中披露此事件。總部設於美國紐約的保護記者委員會的安全及監察專家Tom Lowenthal表示,CNNIC這種做法嚴重打擊了公眾的信任。他說:「此類故意違規對一些用戶造成潛在的嚴重危害,例如需要和消息人士聯絡的記者。」
CNNIC於兩天後發表聲明承認,CNNIC伺服器證書業務合作方MCS公司,確認其不當簽發的測試證書僅用於其實驗室內部測試。聲明同時稱,CNNIC已於3月22日撤銷對MCS公司的業務授權。
暫允忽略警告續瀏覽
話雖如此,Google經過聯合調查後,還是作出了其旗下產品中全面吊銷CNNIC證書的決定。換言之,只要用Google Chrome瀏覽含有CNNIC頒發證書的以「.cn」結尾的域名和所有中文域名的網站,均會顯示不受信任的安全警告。作為過渡,Google暫時允許用戶擁有選擇忽略警告、繼續瀏覽此類網站。《華爾街日報》稱,「這一變動將會影響到那些加密的中國網站」,包括網址以「https」開頭、「.cn」結尾的電子郵箱、網購服務等需要用戶個人信息和密碼的網站。
