继Google周三(1日)宣布,该公司旗下的Google Chrome浏览器停止信任由中国互联网信息中心(CNNIC)发出的数码证书后,旗下拥有Firefox(火狐)浏览器的MOZILLA公司周四(2日)也宣布,停止信任CNNIC的网络数码证书。
Firefox Chrome拒认中共数码证书 影响10亿网民
《明报》4日报导,这两家浏览器在全球约10亿用户,包括大陆4亿人在内,其中Chrome用户约3.4亿人,Firefox用户在800万左右。两家在全球浏览器市场占有率在微软Explorer之后分别排为第二和第三。
在浏览带有CNNIC颁发证书的网站时将受到安全警告。事件或影响数以万计客户资料需要加密的银行或电子商贸公司等网站。
目前,只要用Google Chrome浏览含有CNNIC颁发证书的以“.cn”结尾的域名和所有中文域名的网站,均会显示不受信任的安全警告。作为过渡,Google暂时允许用户拥有选择忽略警告、继续浏览此类网站。
CNNIC是负责管理维护中国互联网域名系统的国家机构,成立于1997年的。最初的主管部门为中国科学院,2014年12月26日调整为“中央网路安全和信息化领导小组办公室、国家互联网信息办公室”;组长为国家主席习近平;办公室主任是被称为大陆互联网“大管家”的鲁炜。
颁发证书可攻击Google
对于Google公司为何取消信任CNNIC的数码证书?明报报导,这是由于Google早前发现CNNIC颁发了多个针对Google域名的用于中间人攻击的证书。
埃及一家名为MCS集团的中级证书颁发机构,发行了多个这些证书冒充成受信任的Google的域名,被用于部署到网路防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,成功绕过了浏览器的警告。MCS集团的中级证书则来自中国的CNNIC。
谷歌:该机构发出证书不可信任
香港网络安全专家杨和生向明报披露,CNNIC作为一个颁发证书的机构,此前曾将一个认证Google的信任证书发给了Google以外的公司,从而令该公司能够冒认Google的网站,Google用户就可能会登入该网站泄露个人资料。因此Google通过浏览器发出警告,告知用户,该网站使用的是一张假证书。
Google认为,CNNIC如此轻易发出信任证书,因此认为该机构发出的证书不可信任。
Google坚持全面吊销CNNIC证书
3月23日,Google在其网络安全博客中披露此事件。总部设于美国纽约的保护记者委员会的安全及监察专家Tom Lowenthal表示,CNNIC这种做法严重打击了公众的信任。他说:“此类故意违规对一些用户造成潜在的严重危害,例如需要和消息人士联络的记者。”
CNNIC于两天后发表声明承认,CNNIC服务器证书业务合作方MCS公司,确认其不当签发的测试证书仅用于其实验室内部测试。声明同时称,CNNIC已于3月22日撤销对MCS公司的业务授权。
但Google经过联合调查后,还是作出了其旗下产品中全面吊销CNNIC证书的决定。