近日,谷歌表示將不再承認中國互聯網絡信息中心頒發的網站信任證書。作為中國最大的負責網絡登記的機構,該中心於2日發佈聲明,稱“難以理解和接受”谷歌這一決定。
中國互聯網絡信息中心負責管理和維護以“.cn”結尾的域名及所有中文域名,為其頒發安全證書。因此,谷歌此番決定意味著,Chrome瀏覽器用戶在打開由該中心認證的網站後,屏幕上會出現警示提醒,警告用戶該網站的安全性未經過谷歌驗證,建議不要打開。當然,用戶擁有選擇忽略警告、繼續前往該網站的選擇權。
3月23日,谷歌在其網絡安全博客中發帖稱,他們在20日注意到幾個谷歌域名的電子證書未經驗證。這些證書來自一家中級證書頒發機構,而該機構屬於名為MCS Holdings的埃及公司。這篇博客帖子中表示,中國互聯網絡信息中心在22日回應承認MCS公司與其屬於合同關係,並解釋稱該公司原本僅向已由中心注冊的域名頒發證書。
谷歌已經採取措施,並告訴用戶不需採取包括修改密碼等任何措施進行保護。
但同時谷歌表示,這些假證書可能造成網絡用戶遭受所謂“中間人”的黑客襲擊,“中間人”攔截用戶的加密信息, 並冒充不知情的網絡用戶。因此,儘管中國互聯網絡信息中心的解釋符合事實,谷歌認為互聯網絡中心給予一家不應授權的公司太多授權。在之後的博文更新中,谷歌宣佈不再承認該中心頒發的證書。
其實這個舉措對於中國來說並不是致命打擊。此舉措將被運用到未來Chrome瀏覽器的更新中,因此,現階段谷歌會保留現有證書的有效性。另外,據科技新聞媒體The Verge分析,中國政府出於增強防火牆的目的,一直以來不鼓勵中國網絡公司使用HTTPS,所以該中心的證書市場額在所有網站證書中佔不到0.1%。
不過,《華爾街日報》報道說,“這一變動將會影響到那些加密的中國網站”,包括網址以“https”開頭、“.cn”結尾的電子郵箱、網購服務等需要用戶個人信息和密碼的網站。
谷歌表示,中國互聯網絡信息中心在改進驗證流程後,仍可重新申請谷歌接受其證書。
有評論說,雖然谷歌“寬容地”表示存在再次接受的可能,但是並沒有安撫中國互聯網絡信息中心那顆“受傷的心”。中心發表聲明回應:“中國互聯網絡信息中心對谷歌公司做出的決定表示難以理解和接受,並敦促谷歌公司充分考慮和保障用戶權益。”同時,中心也保證“將切實保障已有用戶的使用不受影響”。
