日前抨擊中國互聯網絡信息中心(CNNIC)濫發數位憑證之後,Google採取進一步的行動,在本周宣布Google產品將不再承認來自CNNIC的根憑證與延伸驗證(Extended Validation, EV)憑證。CNNIC則說無法理解與接受Google的決定。

Google於今年3月發現埃及的資安業者MCS透過中國CNNIC所發行的中間憑證假冒了Google網域,這些非來自Google的憑證可能讓使用者誤以為所造訪的是Google網站,衍生中間人攻擊的風險。

MCS則說明,該公司因為與CNNIC合作進行新服務的測試而不小心自動產生Google憑證,且相關憑證只被用在MCS的實驗室中,並無外流。

不過,Google仍然決定要封鎖來自CNNIC的根憑證與EV憑證,在下次的Chrome瀏覽器更新就會採用此一新政策。Google在先前的貼文中加入更新說明表示,為了協助那些受到此一決定影響的客戶,短期內將會透過白名單功能讓Chrome持續將既有的CNNIC憑證視為可信賴憑證。

這意味著未來使用者若以Chrome瀏覽器造訪採用CNNIC憑證的.cn或簡體中文名稱網站都可能會看到警告訊息,提醒使用者所造訪的可能不是可靠的網站。

CNNIC在此一事件發生後便撤銷了對MCS的業務授權,也在本周祭出簡短聲明,指出對Google的決定難以理解與接受,希望Google能充份考慮和保障用戶權益。

至於Google則期望CNNIC能確保未來不會再發生類似的事件並實施憑證透明化,還說歡迎CNNIC在具備適當的技術及程序之後再向Google申請重新加入可信賴憑證。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容