【大紀元2015年04月02日訊】(大紀元記者秦雨霏編譯報導)谷歌已經宣佈它的瀏覽器Chrome和其他產品將不再承認由中國互聯網絡信息中心(CNNIC)發佈的安全證書。CNNIC是一個監督中國域名註冊和管理的政府機構。互聯網自由倡導者認為,中共利用認證中心的權力啟動危險的攻擊。
美國信息技術網站《TechCrunch》4月1日報導說,這件事情意義重大,因為CNNIC是中國的頂級域名.cn和中文域名註冊管理的最高管理機構。除非這些網站位於CNNIC向谷歌提供的白名單上,Chrome用戶將看到跳出的安全警告。
這個禁令發佈兩週前,CNNIC簽約外包的中間證書頒發機構MCS控股公司被發現發行了數個谷歌域名的假證書,此外有人利用自簽名的CNNIC證書對Github進行中間人攻擊,被指其攻擊來源與長城防火牆有關。
谷歌3月23日對此發佈聲明說,CNNIC將它們的實際控制權授予一個不合適的機構。
在最新更新的公告中,谷歌宣佈它的產品不再承認CNNIC的安全證書。這個改變將在未來Chrome升級當中看到,但是谷歌將給予現有認證域名一段緩衝期。
受影響的域名包括中共政府運營的網站。
谷歌還說歡迎CNNIC在更換合適的技術和程序控制之後再申請谷歌的認可。
對於谷歌公司的好言相勸,中共方面發佈一份聲明進行譴責,宣稱「谷歌作出的決定對CNNIC而言是不可接受、不可理解的」。
CNNIC還說:「對於CNNIC已經發佈證書的用戶們,我們保證你們的合法權利和利益將不會受到影響。」《金融時報》報導說,CNNIC殺氣騰騰的語氣暗示更高級別的政治手段已經捲入。
谷歌禁止CNNIC認證網站的決定相當不尋常。專家指出這是自從Mozilla在2011年發生安全入侵之後刪除荷蘭DigiNotar根證書之後,某個認證機構首次遭到類似懲罰。
然而谷歌的反應是有道理的,因為CNNIC在公鑰基礎設施當中扮演一個關鍵角色,這個公鑰基礎設施保護全世界的網站用戶的安全。通過把這個重要工作承包給第三方安全中心,CNNIC放棄了一定程度的控制,導致出現未經授權證書。
一名專家說,哪怕一個流氓就可以發佈虛假證書從而產生破壞性影響。虛假證書可以造成中間人攻擊。如果攻擊者手上擁有虛假證書,他就可以偽裝成任何人——就像護照顯示你的名字但是照片卻是另外一個人的臉。
中共惡意使用認證中心權力啟動危險攻擊
《金融時報》報導說,這場爭端對於CNNIC而言發生在一個特別敏感的時刻。上週位於舊金山的編碼共享網站Github受到網絡攻擊。這個網站是軟件開發者的論壇,中國互聯網用戶也利用其中一些工具來繞過中共長城防火牆,而攻擊來源恰恰可能與長城防火牆有關。
一些中國互聯網自由倡導者早就敦促大型軟件提供商廢除CNNIC發佈的證書。
「我們一年多來一直呼籲這個行動,」巨火網站創始人查理•史密斯說,「中共當局惡意使用他們作為認證中心的權力來啟動危險的攻擊,在許多外國媒體平台入侵敏感用戶信息。」巨火網站監控中國互聯網審查。
然而Getlantern.org的安全專家Adam Fisk認為,谷歌的決定跟Github遭到的攻擊沒有直接關係。
他說,Github受到的攻擊可能讓谷歌安全團隊更傾向於作出這個行動,但是虛假證書問題本身已經足以令谷歌作出這個決定。
自從谷歌搜索引擎2010年撤出中國大陸之後,中共跟谷歌的關係就躁動不安。去年大多數谷歌服務在中共被屏蔽。
責任編輯:高靜
