在今年三月末,一場突如其來的網絡風波席捲了好幾個國家的那啥那啥……總之,谷歌在三月23號發表了一篇關於證書問題的博文,矛頭直指CNNIC,本月1號再次更新,並且擺明了對CNNIC的態度,路由個人對這件事情不敢置評,只是把原文章翻譯到這裡,內容不敢說標答但至少比在線翻譯要好上不少吧………………就當練習了。
谷歌在線安全博客
數字證書安全維護
發布: 星期一, 三月 23, 2015
發布者亞當·蘭利, 安全工程師
在三月20號,也就是上週五, 我們開始注意到一些谷歌域名上的未授權數字證書。這些證書頒發於一個中級證書授權,它來自於一家叫做 MCS控股 的公司。 這些中級證書的頒發自 CNNIC。
CNNIC 包含在了所有主要的根存儲區中,所以這些錯誤頒發的證書可能被大概所有的瀏覽器和操作系統信任。視窗, OS X, Linux, ChromeOS系統中的Chrome瀏覽器以及 Firefox 33 和更多瀏覽器將會因為 公鑰釘扎 問題拒絕這些證書, 雖然很可能存在為其他網站錯誤頒發的證書。
我們及時地把這件事告知了 CNNIC 以及其他主流的瀏覽器,並且在Chrome中使用了一個CRLSets 推送屏蔽了來自 MCS Holdings 的證書。CNNIC 在22號做出了回應並且解釋說他們與 MCS Holdings 簽訂合同要求 MCS 僅給他們認證的網站頒發證書。然而,比起把私鑰放在一個合適的 HSM, MCS 把它們安裝在了一個中間人代理中。這些設備通過偽裝成預定目的地來攔截安全連接並且有時被公司以監控或其他合法理由用來攔截員工的安全傳輸線路。員工的電腦通常必須設置成信任代理才能夠做到這一點。然而,在這種情況下,假定代理是被一個公共CA授的權,這嚴重違反了CA系統。這個情況與2013年的ANSSI的一個錯誤相似。
這個解釋與現實一致。然而CNNIC仍然把他們的重權委託於一個不合適擁有它的組織。
Chrome 用戶無需採取任何行動來保護 CRLSet 更新。 我們沒有任何濫用的跡象,我們不建議人們更改密碼或者採取其他措施。同時我們正在考慮下一步更合適的行動。
再一次,此事件突顯了證書透明方面的努力對於將來保護證書安全是相當重要的。
(軟件供應商證書鏈的詳細信息可以在這裡查看。)
四月一號更新: 作為關於圍繞谷歌和 CNNIC 事件的調查結果中的關鍵, 我們決定 CNNIC 的根證書以及 EV CAs 將不會被谷歌的產品承認。這將會在 Chrome 接下來的更新中實現。為了幫助用戶接受這個決定,通過使用公開披露的白名單的方式,在有限的時間內我們將會允許 CNNIC 已存在的證書在 Chrome 中繼續被標記為可信任。儘管我們和 CNNIC 都不相信還有任何進一步未授權數字證書已被簽發,我們也不相信那些錯誤頒發的證書被被用於 MCS Holdings 的測試網絡的限制範圍之外,CNNIC 將會力爭於避免任何進一步的事件發生。CNNIC 要為他們先前所有的證書實施證書透明才能被重新包括在內(譯者按:這句實在翻譯不通……)。我們為CNNIC的積極步伐鼓掌,並且歡迎他們在一個擁有適當技術和程序控制的機構重新申請一次。
對了,這裡是 CNNIC 看到了這篇文章後於2號發表的回應:
CNNIC的回應
一、CNNIC對谷歌公司做出的決定表示難以理解和接受,並敦促谷歌公司充分考慮和保障用戶權益。
二、CNNIC將切實保障已有用戶的使用不受影響。
中國互聯網絡信息中心(中國互聯網絡信息中心,縮寫為CNNIC),是經中華人民共和國國務院主管部門批准,於1997年6月3日成立的互聯網管理和服務機構。中國互聯網絡信息中心成立伊始,由中國科學院主管;2014年末,改由中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室主管。
本文由 落格博客 原創撰寫:落格博客 » 谷歌宣布其全線產品不再承認CNNIC根證書(博文翻譯)
轉載請保留出處和原文鏈接:https://www.logcg.com/archives/871.html
