cnnic证书吊销 谁之错 这个愚人节玩笑不好笑
Apr042015
4月1日,谷歌在博客上正式宣布,决定不再信任由中国互联网络信息中心(CNNIC)发放的网站安全信任证书。随后,Mozilla也在博客上宣布,自己也将吊销CNNIC的根证书。不过,Mozilla表示它们在短时间内将暂时继续信任CNNIC的证书,如果后者能在限定期限内尽快解决这一问题的话,它们会考虑撤销这一决定。为了帮助受影响的客户,Google将使用白名单允许在短时间内继续信任CNNIC现有的证书,CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。
早在3月20日,谷歌发布声明称已发现一批假证书,而埃及MCS和CNNIC都被点名,指出埃及MCSHolding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。随即3月25日,CNNIC发表相关声明,表示未发布用于中间人攻击的证书,并且已于3月22日撤销对MCS公司的业务授权。
这意味着中国用户日后如果用chrome浏览器上网会带来很多不便。用户如果运行CNNIC根证书授权的网页,会收到安全警告的通知,比如需要重新输入登录信息,如果没有谷歌认可的根证书,一些网上银行或涉及交易资金的网页也将无法正常运行。CNNIC爆炸!但是也就业内懂的人才会高兴吧,普通人只会知道用Chrome浏览器打开好多网站会出现警告,这肯定是Chrome浏览器的错,而不会怪CNNIC。
目前(1号之前签发的)CNNIC证书不会被吊销,暂时以白名单形式存在。
网上有人这样描述CNNIC滥发证书的可怕性:相当于国家机器造假。想想当年体操女运动员年龄造假事件,国际体联被批评后无奈的说:她们的护照都是国家发的,我们有什么权力去质疑呢?