谷歌4月1日更新了安全博客,宣布旗下产品将删除中国互联网信息中心(CNNIC)数字证书。而Firefox(火狐浏览器)也发布了类似声明。
Google与火狐先后发表声明称,它们旗下的浏览器,将停止信任来自中国互联网络信息中心(CNNIC)颁发的数字证书。而中国互联网信息中心(CNNIC)目前是中国最大的数字证书颁发机构。
Google表示,为缩小因此项决议受到影响的客户范围,将在限定时间内把CNNIC现有证书拉入白名单保持继续信任,而CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。
此外,火狐也发表了CNNIC重新申请其授权许可的声明。火狐表示,如果CNNIC满足了Google和火狐提出的要求,这些限制将会被取消。此举意味着,对于存在货币交易的网站而言,将停止运营(任何与此授权证书相关的银行或是商业网站都将因为没有安全许可而停止转账)。
事实上,Google并未透露该项措施的具体实施时间。有业内人士认为,这将为即将受到影响的网站提供充足时间来更换授权机构。
根据最新Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书来自CNNIC与某个公司的一项合同,合同规定该公司仅用CNNIC提供的Sub CA证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
在Google确认旗下产品删除CNNIC数字证书后,CNNIC也发布了官方声明,表示对谷歌公司做出的决定表示难以理解和接受,敦促谷歌公司充分考虑和保障用户权益,同时将保障已有用户的使用不受影响。
有业内人士认为,此次事件发生后,可能影响国内用户对国产SSL证书的信心,很多企业将会继续偏向GlobalSign等国外品牌的SSL证书。
据了解,中国互联网络信息中心(CNNIC)是经国家主管部门批准,于1997年6月3日组建的管理和服务机构,行使国家互联网络信息中心的职责。