Google於日前指出,埃及的MCS透過中國CNNIC所發行的中間憑證假冒Google網域,MCS則正式對外澄清,這只是該公司在測試相關服務時不小心造成的疏失,並非故意。

MCS表示,該公司是埃及與中東地區主要的安全產品供應商之一,在今年3月11日與CNNIC簽署了示範合作協議,準備在中東市場推出雲端安全服務,並在3月19日自CNNIC取得次級憑證,以進行為期兩周的測試。

MCS在3月19日當天便展開測試,測試環境是在受到保護的MCS實驗室內,而且把金鑰儲存在符合聯邦訊息處理標準的防火牆裝置中,但未注意到該裝置有個積極政策,會執行SSL轉發代理(SSL forward proxy)為網際網路上被瀏覽的網域自動產生憑證。上周末有一名工程師使用Google Chrome瀏覽網路時無意間觸發了該政策,Google才會收到誤用的回報。

MCS指出,當該公司接到CNNIC的通知時,馬上就從防火牆裝置上刪除了該憑證,也在同一天提交意外報告給CNNIC並通知有關單位。這是人為疏失,而且僅在MCS實驗室中的單一測試電腦上發生,Google也已確認並無任何濫用或監控流量的情況產生。

由於此事引起全球媒體的關注,CNNIC也發布聲明澄清指出,有些媒體報導說「Google稱CNNIC發佈用於中間人攻擊的憑證」,這是不實報導。CNNIC強調,該機構並未發佈用於中間人攻擊的憑證,而Google也未有針對CNNIC的相關指責。其合作方MCS公司已確認不當簽發的測試憑證僅用於實驗室內部測試,同時CNNIC已於3月22日撤銷對MCS公司的業務授權。

不過外界評論認為,該事件的問題不只出在MCS,因為CNNIC提供給MCS的憑證過於強大,允許MCS能夠產生任何網域的憑證,此事不論是MCS或CNNIC都有過失,也突顯了憑證發行方式的問題。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容