谷歌和中国又杠上了。近日,谷歌(Google)表示将不再承认中国互联网络信息中心(China Internet Network Information Center, CNNIC)颁发的网站信任证书。作为中国最大的负责网络登记的机构,该中心于2日发布声明,称“难以理解和接受”谷歌这一决定。
中国互联网络信息中心负责管理和维护以“.cn”结尾的域名及所有中文域名,为其颁发安全证书。因此,谷歌此番决定意味着,Chrome浏览器用户在打开由该中心认证的网站后,屏幕上会出现警示提醒,警告用户该网站的安全性未经过谷歌验证,建议不要打开。当然,用户拥有选择忽略警告、继续前往该网站的选择权。
3月23日,谷歌在其网络安全博客(Online Security Blog)中发帖称,他们在20日注意到几个谷歌域名的电子证书未经验证。这些证书来自一家中级证书颁发机构,而该机构属于名为MCS Holdings的埃及公司。这篇博客帖子中表示,中国互联网络信息中心在22日回应承认MCS公司与其属于合同关系,并解释称该公司原本仅向已由中心注册的域名颁发证书。
谷歌已经采取措施,并告诉用户不需采取包括修改密码等任何措施进行保护。
但同时谷歌表示,这些假证书可能造成网络用户遭受所谓“中间人”的黑客袭击,“中间人”拦截用户的加密信息, 并冒充不知情的网络用户。因此,尽管中国互联网络信息中心的解释符合事实,谷歌认为互联网络中心给予一家不应授权的公司太多授权。在之后的博文更新中,谷歌宣布不再承认该中心颁发的证书。
其实这个举措对于中国来说并不是致命打击。此举措将被运用到未来Chrome浏览器的更新中,因此,现阶段谷歌会保留现有证书的有效性。另外,据科技新闻媒体The Verge分析,中国政府出于增强防火墙的目的,一直以来不鼓励中国网络公司使用HTTPS,所以该中心的证书市场额在所有网站证书中占不到0.1%。
不过,《华尔街日报》报道说,“这一变动将会影响到那些加密的中国网站”,包括网址以“https”开头、“.cn”结尾的电子邮箱、网购服务等需要用户个人信息和密码的网站。
谷歌表示,中国互联网络信息中心在改进验证流程后,仍可重新申请谷歌接受其证书。
有评论说,虽然谷歌“宽容地”表示存在再次接受的可能,但是并没有安抚中国互联网络信息中心那颗“受伤的心”。中心发表声明回应:“CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。”同时,中心也保证“将切实保障已有用户的使用不受影响”。
