谷歌不再承認中國網管部門頒發的數碼證書(圖)
谷歌宣布不再承認由CNNIC發放的網路安全信任證書。(網路圖片)
【看中國2015年04月03日訊】(看中國記者端木珊綜合報導)美國時間4月1日晚,美國網路公司谷歌宣布,將不再承認由中國網際網路路信息中心(CNNIC)發放的網路安全信任證書。華爾街日報對此表示,這是中國和外國科技公司之間互不信任的又一跡象。
谷歌週三表示,將不再信任CNNIC發放的網路安全信任證書。這種證書保存在託管網站的伺服器上,旨在防止網際網路用戶身份信息外泄以及被所謂釣魚網站等欺詐行為影響。這種證書是網際網路通訊安全的基本保障。如果證書遭到破壞,不法份子將可暢通無阻於網際網路世界,使網際網路安全秩序大亂。
谷歌的這一決定意味著,許多使用谷歌瀏覽器的用戶訪問中國部分以「。cn」域名結尾的網站時,會因安全上的不確定性收到谷歌的警示信息,此外,許多使用谷歌瀏覽器的用戶將不能與銀行和電子商務網址進行聯通。
為了讓受影響的網站運營商有足夠的時間獲得從不同的證書發放機構獲得新的證書,近一段時間內,谷歌將繼續承認CNNIC發放的數碼證書。過了這段時間後,該中心發放的數碼證書將被更新的谷歌瀏覽器和所有谷歌軟體列入不予信任的黑名單。
上週,谷歌在其安全博客上表示,發現CNNIC曾允許埃及公司MCS Holdings為不同的谷歌域名發布未經授權的信任證書,「嚴重違反了證書信任系統的規則」,從而導致重大安全隱患,使得用戶和這些網站之間的聯繫有可能受到「中間人攻擊」黑客攻擊。
所謂「中間人攻擊」,是指攻擊者與通訊的兩端分別建立獨立的聯繫,並交換其所收到的數據,使通訊的兩端以為他們正在與對方直接對話,而事實上整個會話都被攻擊者完全控制。攻擊者還可攔截通訊雙方的通話,插入新的內容,並獲得密碼等信息。
此外,經營網際網路瀏覽器的微軟和Mozilla公司也表示將不再認可中國網際網路路信息中心的數碼證書。
長期以來,致力於關注中共當局網路審查、協助中國大陸網友「翻牆」的美國網站《巨火》(greatfire.org)就不斷倡導,廢除由CNNIC發放的人證書。
《巨火》網站通過收集大量觀測和實驗數據判定,近期針對谷歌、微軟、雅虎等公司的中間人攻擊皆發生在中國,並且得益於CNNIC發放的數碼證書。
CNNIC對於谷歌公司的決定表示難以理解和接受。就在谷歌公司公布其決定的第二天,谷歌博客上解釋其決定的文章在中國已被禁止訪問。