谷歌宣布其全线产品不再承认CNNIC根证书(博文翻译)

在今年三月末,一场突如其来的网络风波席卷了好几个国家的那啥那啥……总之,谷歌在三月23号发表了一篇关于证书问题的博文,矛头直指CNNIC,本月1号再次更新,并且摆明了对CNNIC的态度,路由个人对这件事情不敢置评,只是把原文章翻译到这里,内容不敢说标答但至少比在线翻译要好上不少吧………………就当练习了。

谷歌在线安全博客

谷歌在线安全博客


 

数字证书安全维护

Posted: 星期一, 三月 23, 2015

Posted by Adam Langley, 安全工程师
在三月20号,也就是上周五, 我们开始注意到一些谷歌域名上的未授权数字证书。这些证书颁发于一个中级证书授权,它来自于一家叫做 MCS Holdings 的公司。 这些中级证书的颁发自 CNNIC

CNNIC 包含在了所有主要的根存储区中,所以这些错误颁发的证书可能被大概所有的浏览器和操作系统信任。Windows, OS X,  Linux, ChromeOS系统中的Chrome浏览器以及 Firefox 33 和更多浏览器将会因为 public-key pinning 问题拒绝这些证书, 虽然很可能存在为其他网站错误颁发的证书。

我们及时地把这件事告知了 CNNIC 以及其他主流的浏览器,并且在Chrome中使用了一个CRLSet 推送屏蔽了来自 MCS Holdings 的证书。CNNIC 在22号做出了回应并且解释说他们与 MCS Holdings 签订合同要求 MCS 仅给他们认证的网站颁发证书。然而,比起把私钥放在一个合适的 HSM, MCS 把它们安装在了一个中间人代理中。这些设备通过伪装成预定目的地来拦截安全连接并且有时被公司以监控或其他合法理由用来拦截员工的安全传输线路。员工的电脑通常必须设置成信任代理才能够做到这一点。然而,在这种情况下,假定代理是被一个公共CA授的权,这严重违反了CA系统。这个情况与2013年的ANSSI的一个错误相似。

这个解释与现实一致。然而CNNIC仍然把他们的重权委托于一个不合适拥有它的组织。

Chrome 用户无需采取任何行动来保护 CRLSet 更新。 我们没有任何滥用的迹象,我们不建议人们更改密码或者采取其他措施。同时我们正在考虑下一步更合适的行动。

再一次,此事件突显了证书透明方面的努力对于将来保护证书安全是相当重要的。

(软件供应商证书链的详细信息可以在这里​查看。)

四月一号更新: 作为关于围绕谷歌和 CNNIC 事件的调查结果中的关键, 我们决定 CNNIC 的根证书以及 EV CAs 将不会被谷歌的产品承认。这将会在 Chrome 接下来的更新中实现。为了帮助用户接受这个决定,通过使用公开披露的白名单的方式,在有限的时间内我们将会允许 CNNIC 已存在的证书在 Chrome 中继续被标记为可信任。尽管我们和 CNNIC 都不相信还有任何进一步未授权数字证书已被签发,我们也不相信那些错误颁发的证书被被用于 MCS Holdings 的测试网络的限制范围之外,CNNIC 将会力争于避免任何进一步的事件发生。CNNIC 要为他们先前所有的证书实施证书透明才能被重新包括在内(译者按:这句实在翻译不通……)。我们为CNNIC的积极步伐鼓掌,并且欢迎他们在一个拥有适当技术和程序控制的机构重新申请一次。

 


对了,这里是 CNNIC 看到了这篇文章后于2号发表的回应:

CNNIC的回应

CNNIC的回应

一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
二、CNNIC将切实保障已有用户的使用不受影响。


 

中国互联网络信息中心(China Internet Network Information Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。


  1. 本文为落格博客原创翻译,由于博主才疏学浅疏漏之处在所难免,欢迎读者来信或留言斧正;
  2. 原文地址在这里
  3. 另外参考了月光博客的相关文章

 

 

本文由 落格博客 原创撰写:落格博客 » 谷歌宣布其全线产品不再承认CNNIC根证书(博文翻译)

转载请保留出处和原文链接:https://www.logcg.com/archives/871.html

About the Author

R0uter

如非声明,本人所著文章均为原创手打,转载请注明本页面链接和我的名字。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注