2015年4月1日美国时间晚上,世界互联网巨头、美国网络公司谷歌宣布,其浏览器将不再信任中国互联网络信息中心(英文缩写CNNIC)发出的数码证书。上个星期,谷歌发现有跟中国互联网络信息中心有关系的数码证书发放机构发放了谷歌电子邮件和好几个谷歌域名未经授权的数码证书,从而导致重大安全隐患。
假如谷歌互联网浏览器停止承认所有中国互联网络信息中心发放的网址数码证书,许多使用谷歌浏览器的用户将不能与银行和电子商务网址进行联通。
为了给受影响的网站运营商时间以便让它们可以从不同的证书发放机构获得新的证书,谷歌将在一段时间内继续承认中国互联网络信息中心发放的数码证书,过了这段时间之后,这个中心发放的数码证书将被更新的谷歌浏览器和所有谷歌软件列入不予信任的黑名单。
与此同时,经营互联网浏览器的微软和Mozilla公司也表示将不再认可中国互联网络信息中心的数码证书。
互联网通讯中的数码证书是互联网通讯安全的最重要和基本保障。假如这一保障遭受破坏,不法分子将可以在互联网世界畅通无阻,使互联网安全秩序大乱。
致力于中国网络监测的志愿者组织GreatFire今年早些时候指控中国政府当局在过去的两年里默许或组织了对微软、谷歌和雅虎等互联网巨头的“中间人攻击”。
按照维基百科的解释,“中间人攻击(Man-in-the-middle attack,通常缩写为MITM )是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。”
志愿者组织GreatFire基于它所收集的大量观测和实验数据,判定近来一系列黑客针对微软、谷歌和雅虎的中间人攻击发生在中国,并得益于中国互联网信息中心发放的数码证书,从而使发动中间人攻击的黑客可以伪装为互联网世界中可靠的信息传递者。GreatFire为此呼吁互联网公司和相关组织,包括微软和苹果,立即停止将中国互联网络信息中心作为认证机构(certification authority)的信任。
中国互联网络信息中心的主管机构中国国家互联网信息办公室则表示,GreatFire的指责是“无端臆测,纯属境外反华势力的造谣和污蔑”。但中国网信办一直没有对GreatFire所陈述的问题提出具体的解释或反驳。中国官方媒体也将为数不多的有关报道全部删除。
对谷歌在4月1日作出的声明,中国互联网络信息中心也作出强烈的回应说,“CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。CNNIC将切实保障已有用户的使用不受影响。”
中国互联网络信息中心还否认自己的作为造成安全漏洞,并表示先前签发问题证书的是与它有业务关系的埃及MCS公司,该公司错误签发问题证书的目的是进行内部测试,中国互联网络信息中心已经为此解除给予该公司的授权。
但谷歌表示,中国互联网络信息中心将相当大的数码证书签发权授予了一个不适合拥有这种授权的组织;谷歌“赞赏中国互联网络信息中心采取的积极措施,并欢迎中心在设置了适当的技术和程序控制之后重新申请纳入(谷歌所认可的安全数码证书名单)。”
