【大紀元2015年04月05日訊】(大紀元記者程靜報導)繼Google週三(1日)宣佈,該公司旗下的Google Chrome瀏覽器停止信任由中國互聯網信息中心(CNNIC)發出的數碼證書後,旗下擁有Firefox(火狐)瀏覽器的MOZILLA公司週四(2日)也宣佈,停止信任CNNIC的網絡數碼證書。
Firefox Chrome拒認中共數碼證書 影響10億網民
《明報》4日報導,這兩家瀏覽器在全球約10億用戶,包括大陸4億人在內,其中Chrome用戶約3.4億人,Firefox用戶在800萬左右。兩家在全球瀏覽器市場佔有率在微軟Explorer之後分別排為第二和第三。
在瀏覽帶有CNNIC頒發證書的網站時將受到安全警告。事件或影響數以萬計客戶資料需要加密的銀行或電子商貿公司等網站。
目前,只要用Google Chrome瀏覽含有CNNIC頒發證書的以「.cn」結尾的域名和所有中文域名的網站,均會顯示不受信任的安全警告。作為過渡,Google暫時允許用戶擁有選擇忽略警告、繼續瀏覽此類網站。
CNNIC是負責管理維護中國互聯網域名系統的國家機構,成立於1997年的。最初的主管部門為中國科學院,2014年12月26日調整為「中央網路安全和信息化領導小組辦公室、國家互聯網信息辦公室」;組長為國家主席習近平;辦公室主任是被稱為大陸互聯網「大管家」的魯煒。
頒發證書可攻擊Google
對於Google公司為何取消信任CNNIC的數碼證書?明報報導,這是由於Google早前發現CNNIC頒發了多個針對Google域名的用於中間人攻擊的證書。
埃及一家名為MCS集團的中級證書頒發機構,發行了多個這些證書冒充成受信任的Google的域名,被用於部署到網路防火牆中,用於劫持所有處於該防火牆後的HTTPS網絡通信,成功繞過了瀏覽器的警告。MCS集團的中級證書則來自中國的CNNIC。
谷歌:該機構發出證書不可信任
香港網絡安全專家楊和生向明報披露,CNNIC作為一個頒發證書的機構,此前曾將一個認證Google的信任證書發給了Google以外的公司,從而令該公司能夠冒認Google的網站,Google用戶就可能會登入該網站洩露個人資料。因此Google通過瀏覽器發出警告,告知用戶,該網站使用的是一張假證書。
Google認為,CNNIC如此輕易發出信任證書,因此認為該機構發出的證書不可信任。
Google堅持全面吊銷CNNIC證書
3月23日,Google在其網絡安全博客中披露此事件。總部設於美國紐約的保護記者委員會的安全及監察專家Tom Lowenthal表示,CNNIC這種做法嚴重打擊了公眾的信任。他說:「此類故意違規對一些用戶造成潛在的嚴重危害,例如需要和消息人士聯絡的記者。」
CNNIC於兩天後發表聲明承認,CNNIC伺服器證書業務合作方MCS公司,確認其不當簽發的測試證書僅用於其實驗室內部測試。聲明同時稱,CNNIC已於3月22日撤銷對MCS公司的業務授權。
但Google經過聯合調查後,還是作出了其旗下產品中全面吊銷CNNIC證書的決定。
責任編輯:林銳
