PCDVD數位科技討論區 - 外媒：谷歌停止承認中共網站認證中心

谷歌宣佈Chrome和其他產品將不再承認由中國互聯網絡信息中心（CNNIC）發佈的安全證書。圖為谷歌關閉中國營運前，於北京的總部，谷哥已於2010年撤出中國。（AFP PHOTO/Franko Lee）

【記者秦雨霏／編譯】谷歌已經宣佈它的瀏覽器Chrome和其他產品將不再承認由中國互聯網絡信息中心（CNNIC）發佈的安全證書。CNNIC是一個監督中國域名註冊和管理的政府機構。網際網路自由倡導者認為，中共利用認證中心的權力啟動危險的攻擊。

美國資訊技術網站《TechCrunch》4月1日報導說，這件事情意義重大，因為CNNIC是中國的頂級域名.cn和中文域名註冊管理的最高管理機構。除非這些網站位於CNNIC向谷歌提供的白名單上，Chrome用戶將看到跳出的安全警告。

這個禁令發佈兩週前，CNNIC簽約外包的中間證書頒發機構MCS控股公司被發現發行了數個谷歌域名的假證書，此外有人利用自簽名的CNNIC證書對Github進行中間人攻擊，被指其攻擊來源與長城防火牆有關。

谷歌3月23日對此發佈聲明說，CNNIC將它們的實際控制權授予一個不合適的機構。在最新更新的公告中，谷歌宣佈它的產品不再承認CNNIC的安全證書。這個改變將在未來Chrome升級當中看到，但是谷歌將給予現有認證域名一段緩衝期。

受影響的域名包括中共政府運營的網站。谷歌還說歡迎CNNIC在更換合適的技術和程序控制之後再申請谷歌的認可。

對於谷歌公司的好言相勸，中共方面發佈一份聲明進行譴責，宣稱「谷歌作出的決定對CNNIC而言是不可接受、不可理解的」。

CNNIC還說：「對於CNNIC已經發佈證書的用戶們，我們保證你們的合法權利和利益將不會受到影響。」《金融時報》報導說，CNNIC殺氣騰騰的語氣暗示更高級別的政治手段已經捲入。

谷歌禁止CNNIC認證網站的決定相當不尋常。專家指出這是自從Mozilla在2011年發生安全入侵之後刪除荷蘭DigiNotar根證書之後，某個認證機構首次遭到類似懲罰。

然而谷歌的反應是有道理的，因為CNNIC在公鑰基礎設施當中扮演一個關鍵角色，這個公鑰基礎設施保護全世界的網站用戶的安全。通過把這個重要工作承包給第三方安全中心，CNNIC放棄了一定程度的控制，導致出現未經授權證書。

一名專家說，哪怕一個流氓就可以發佈虛假證書從而產生破壞性影響。虛假證書可以造成中間人攻擊。如果攻擊者手上擁有虛假證書，他就可以偽裝成任何人——就像護照顯示你的名字但是照片卻是另外一個人的臉。

中共惡意使用認證中心權力啟動危險攻擊

《金融時報》報導說，這場爭端對於CNNIC而言發生在一個特別敏感的時刻。上週位於舊金山的編碼共享網站Github受到網路攻擊。這個網站是軟體開發者的論壇，中國網路用戶也利用其中一些工具來繞過中共長城防火牆，而攻擊來源恰恰可能與長城防火牆有關。

一些中國網際網路自由倡導者早就敦促大型軟體提供商廢除CNNIC發佈的證書。

「我們一年多來一直呼籲這個行動，」巨火網站（GreatFire.org）創始人查理‧史密斯說，「中共當局惡意使用他們作為認證中心的權力來啟動危險的攻擊，在許多外國媒體平台入侵敏感用戶資訊。」巨火網站監控中國網際網路審查。

然而Getlantern.org的安全專家Adam Fisk認為，谷歌的決定跟Github遭到的攻擊沒有直接關係。他說，Github受到的攻擊可能讓谷歌安全團隊更傾向於作出這個行動，但是虛假證書問題本身已經足以令谷歌作出這個決定。

自從谷歌搜索引擎2010年撤出中國大陸之後，中共跟谷歌的關係就躁動不安。去年大多數谷歌服務在中共被封鎖。
================================================
最近對岸網路環境真是風波不斷 :think: