【大纪元2015年04月02日讯】(大纪元记者秦雨霏编译报导)谷歌已经宣布它的浏览器Chrome和其他产品将不再承认由中国互联网络信息中心(CNNIC)发布的安全证书。CNNIC是一个监督中国域名注册和管理的政府机构。互联网自由倡导者认为,中共利用认证中心的权力启动危险的攻击。
美国信息技术网站《TechCrunch》4月1日报导说,这件事情意义重大,因为CNNIC是中国的顶级域名.cn和中文域名注册管理的最高管理机构。除非这些网站位于CNNIC向谷歌提供的白名单上,Chrome用户将看到跳出的安全警告。
这个禁令发布两周前,CNNIC签约外包的中间证书颁发机构MCS控股公司被发现发行了数个谷歌域名的假证书,此外有人利用自签名的CNNIC证书对Github进行中间人攻击,被指其攻击来源与长城防火墙有关。
谷歌3月23日对此发布声明说,CNNIC将它们的实际控制权授予一个不合适的机构。
在最新更新的公告中,谷歌宣布它的产品不再承认CNNIC的安全证书。这个改变将在未来Chrome升级当中看到,但是谷歌将给予现有认证域名一段缓冲期。
受影响的域名包括中共政府运营的网站。
谷歌还说欢迎CNNIC在更换合适的技术和程序控制之后再申请谷歌的认可。
对于谷歌公司的好言相劝,中共方面发布一份声明进行谴责,宣称“谷歌作出的决定对CNNIC而言是不可接受、不可理解的”。
CNNIC还说:“对于CNNIC已经发布证书的用户们,我们保证你们的合法权利和利益将不会受到影响。”《金融时报》报导说,CNNIC杀气腾腾的语气暗示更高级别的政治手段已经卷入。
谷歌禁止CNNIC认证网站的决定相当不寻常。专家指出这是自从Mozilla在2011年发生安全入侵之后删除荷兰DigiNotar根证书之后,某个认证机构首次遭到类似惩罚。
然而谷歌的反应是有道理的,因为CNNIC在公钥基础设施当中扮演一个关键角色,这个公钥基础设施保护全世界的网站用户的安全。通过把这个重要工作承包给第三方安全中心,CNNIC放弃了一定程度的控制,导致出现未经授权证书。
一名专家说,哪怕一个流氓就可以发布虚假证书从而产生破坏性影响。虚假证书可以造成中间人攻击。如果攻击者手上拥有虚假证书,他就可以伪装成任何人——就像护照显示你的名字但是照片却是另外一个人的脸。
中共恶意使用认证中心权力启动危险攻击
《金融时报》报导说,这场争端对于CNNIC而言发生在一个特别敏感的时刻。上周位于旧金山的编码共享网站Github受到网络攻击。这个网站是软件开发者的论坛,中国互联网用户也利用其中一些工具来绕过中共长城防火墙,而攻击来源恰恰可能与长城防火墙有关。
一些中国互联网自由倡导者早就敦促大型软件提供商废除CNNIC发布的证书。
“我们一年多来一直呼吁这个行动,”巨火网站创始人查理•史密斯说,“中共当局恶意使用他们作为认证中心的权力来启动危险的攻击,在许多外国媒体平台入侵敏感用户信息。”巨火网站监控中国互联网审查。
然而Getlantern.org的安全专家Adam Fisk认为,谷歌的决定跟Github遭到的攻击没有直接关系。
他说,Github受到的攻击可能让谷歌安全团队更倾向于作出这个行动,但是虚假证书问题本身已经足以令谷歌作出这个决定。
自从谷歌搜索引擎2010年撤出中国大陆之后,中共跟谷歌的关系就躁动不安。去年大多数谷歌服务在中共被屏蔽。
责任编辑:高静
