中国封杀有关CNNIC发布中间人证书的文章

日前,谷歌发现在多个未授权的针对谷歌域名的电子证书,而这些证书的根证书属于中国互联网络信息中心(CNNIC)。谷歌和Mozilla(火狐)分别公开了这一安全事件,就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间人攻击证书文章的中文翻译,则在中国被勒令删除。

  • 中国著名IT博客“月光博客”不加任何评论,将谷歌的文章翻译成中文。在谷歌和百度上用中文搜索“CNNIC中间人攻击”,他的这篇文章都是搜索的首个结果。3月26日,他在推特上表示,新闻办打电话给他, 要求立即删除他的这篇文章。原文 http://www.williamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。

这再次突出CNNIC参与了中国网络审查。CNNIC曾进行网络审查,而且正在、也将继续进行网络审查。Greatfire再次呼吁谷歌、Mozilla、微软和苹果立即取消对CNNIC的信任,以保护全球网民的用户信息。

本文英文版原载于Greatfire,中文版经授权由泡泡编译,文中观点不代表泡泡立场


附:月光博客被删文章

谷歌称CNNIC发布中间人攻击证书

根据谷歌官方安全博客报道,谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书,而MCS集团的中级证书则来自中国的CNNIC

该证书冒充成受信任的谷歌的域名,被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

谷歌联系了CNNIC,CNNIC在3月22日回应称,CNNIC向MCS发行了一个无约束的中级证书,MCS本应该只向它拥有的域名发行证书,但 MCS将其安装在一个防火墙设备上充当中间人代理,伪装成目标域名,用于执行加密连接拦截(SSL MITM)。企业如出于法律或安全理由需要监控员工的加密连接,必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证 书,这种做法严重违反了证书信任系统的规则。这种解释符合事实,然而,CNNIC还是签发了不适合MCS持有的证书。

CNNIC作为根CA被几乎所有操作系统和浏览器信任,谷歌已经将这些情况通知了所有的主流浏览器,谷歌所有版本的Chrome浏览器(包括 Windows、OS X、Linux版)、Firefox浏览器都会拦截这些证书,Firefox从37版开始引入OneCRL机制,建立证书黑名单,拦截被滥用及不安全的证书。

这件事情再次显示,互联网证书颁发机制公开透明的必要性。

谷歌英文博客原文:Maintaining digital certificate security

Mozilla英文博客原文:Revoking Trust in one CNNIC Intermediate Certificate

参考资料:中国互联网络信息中心(China Internet Network Information Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立 伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。

评论

Kamagra Oral Jelly 5g Cialis Per Bankuberweisung <a href=http://brandciali.com>cialis for sale</a> Acquistare Kamagra Miglior Sito

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。