谷歌宣布不再承认由CNNIC发放的网络安全信任证书。(网络图片)
【看中国2015年04月03日讯】(看中国记者端木珊综合报导)美国时间4月1日晚,美国网络公司谷歌宣布,将不再承认由中国互联网络信息中心(CNNIC)发放的网络安全信任证书。华尔街日报对此表示,这是中国和外国科技公司之间互不信任的又一迹象。
谷歌周三表示,将不再信任CNNIC发放的网络安全信任证书。这种证书保存在托管网站的服务器上,旨在防止互联网用户身份信息外泄以及被所谓钓鱼网站等欺诈行为影响。这种证书是互联网通讯安全的基本保障。如果证书遭到破坏,不法分子将可畅通无阻于互联网世界,使互联网安全秩序大乱。
谷歌的这一决定意味着,许多使用谷歌浏览器的用户访问中国部分以“。cn”域名结尾的网站时,会因安全上的不确定性收到谷歌的警示信息,此外,许多使用谷歌浏览器的用户将不能与银行和电子商务网址进行联通。
为了让受影响的网站运营商有足够的时间获得从不同的证书发放机构获得新的证书,近一段时间内,谷歌将继续承认CNNIC发放的数码证书。过了这段时间后,该中心发放的数码证书将被更新的谷歌浏览器和所有谷歌软件列入不予信任的黑名单。
上周,谷歌在其安全博客上表示,发现CNNIC曾允许埃及公司MCS Holdings为不同的谷歌域名发布未经授权的信任证书,“严重违反了证书信任系统的规则”,从而导致重大安全隐患,使得用户和这些网站之间的联系有可能受到“中间人攻击”黑客攻击。
所谓“中间人攻击”,是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端以为他们正在与对方直接对话,而事实上整个会话都被攻击者完全控制。攻击者还可拦截通讯双方的通话,插入新的内容,并获得密码等信息。
此外,经营互联网浏览器的微软和Mozilla公司也表示将不再认可中国互联网络信息中心的数码证书。
长期以来,致力于关注中共当局网络审查、协助中国大陆网友“翻墙”的美国网站《巨火》(greatfire.org)就不断倡导,废除由CNNIC发放的人证书。
《巨火》网站通过收集大量观测和实验数据判定,近期针对谷歌、微软、雅虎等公司的中间人攻击皆发生在中国,并且得益于CNNIC发放的数码证书。
CNNIC对于谷歌公司的决定表示难以理解和接受。就在谷歌公司公布其决定的第二天,谷歌博客上解释其决定的文章在中国已被禁止访问。