2015年4月2日星期四

外媒:谷歌不承认中共网站认证中心

大陆直连看禁闻 https://bit.ly/jinews

已经宣布它的浏览器Chrome和其他产品将不再承认由中国互联信息中心(CNNIC)发布的安全证书。它是一个监督中国域名注册的机构。自由倡导者认为,中共利用认证中心的权力启动危险的攻击。


美国信息技术网站《TechCrunch》4月1日报导说,这件事情意义重大,因为CNNIC管理.cn国家代码的安全证书以及中文域名。除非这些网站位于CNNIC向谷歌提供的白名单上,Chrome用户将看到跳出的安全警告。


这个禁令发布两周前,谷歌注意到几款未经授权数字证书,它们是由MCS控股公司发布。该公司是CNNIC签约外包的中间证书颁发机构。


谷歌3月23日对此发布声明说,CNNIC将它们的实质权限授予一个不合适的机构。


在最新更新的公告中,谷歌宣布它的产品不再承认CNNIC的安全证书。这个改变将在未来 Chrome升级当中看到,但是谷歌将给予现有认证域名一段缓冲期。


受影响的域名包括中共政府运营的网站。


谷歌还说欢迎CNNIC在更换合适的技术和程序控制之后再申请谷歌的认可。


这并不能抚慰中共机构的愤怒。中共方面发布一份声明,宣称“谷歌作出的决定对CNNIC而言不可接受、不可理解。


CNNIC还说:“对于CNNIC已经发布证书的用户们,我们保证你们的合法权利和利益将不会受到影响。”《金融时报》报导说,CNNIC的杀气腾腾的语气暗示更高级别的政治手段已经卷入。


谷歌禁止CNNIC认证网站的决定相当不寻常。专家指出这是自从Mozilla在2011年发生安全入侵之后删除荷兰DigiNotar根证书之后某个认证中心首次遭到类似惩罚。


然而谷歌的反应是有道理的,因为CNNIC在公钥基础设施当中扮演一个关键角色,这个公钥基础设施保护全世界的网站安全和用户。通过把这个重要承包给第三方安全中心,CNNIC放弃了一定程度的控制,导致出现未经授权证书。


一名专家说,哪怕一个流氓 就可以发布虚假证书从而产生破坏性影响。虚假证书可以造成中间人攻击。如果攻击者手上拥有虚假证书,他就可以伪装成任何人——就像护照显示你的名字但是照片却是另外一个人的脸。


中共恶意使用认证中心权力启动危险攻击


《金融时报》报导说,这场争端对于CNNIC而言发生在一个特别敏感的时刻。上周位于旧金山的编码共享网站Github受到网络攻击。这个网站是软件开发者的论坛,中国互联网用户也利用其中一些工具来绕过中共长城防火墙。


这次攻击似乎源自于中国,并且着重于中国互联网基础设施的安全架构。


一些中国互联网自由倡导者早就敦促大型软件提供商废除CNNIC发布的证书。


“我们一年多来一直呼吁这个行动,”巨火网站创始人查理?史密斯说,“中共当局恶意使用他们作为认证中心的权力来启动危险的攻击,在许多外国媒体平台入侵敏感用户信息。”巨火网站监控中国互联网审查。


然而Getlantern.org的安全专家Adam Fisk认为,谷歌的决定跟Github遭到的攻击没有直接关系。


他说,Github受到的攻击可能让谷歌安全团队更倾向于作出这个行动,但是虚假证书问题 本身已经足以令谷歌作出这个决定。


自从谷歌搜索引擎2010年撤出中国大陆之后,中共跟谷歌的关系就躁动不安。去年大多数谷歌服务在中共被屏蔽。


来源:大纪元 责任编辑:高静



本文标签:, , , , , ,






via 中国禁闻网 » 中国禁闻 http://ift.tt/1DrGeDY

没有评论:

发表评论