cn域名遭知名浏览器封杀 影响10亿网民

继Google周三宣布，该公司旗下的Google Chrome浏览器停止信任由中国互联网信息中心(CNNIC)发出的数码证书后，旗下拥有Firefox(火狐)浏览器的MOZILLA公司周四也宣布，停止信任CNNIC的网络数码证书。目前，包括中国大陆近4亿人在内，这两家浏览器在全球约10亿用户，在浏览带有CNNIC颁发证书的网站时将受到安全警告。事件或影响数以万计客户资料需要加密的银行或电子商贸公司等网站。CNNIC发出声明称，难以理解和接受Google作出的决定。

 

 

以安全见称的Google chrome 及Firefox，是继微软Internet Explorer(IE)之后，在全球浏览器市场占有率分别达20.57%和13.26%，排名第二及第三的浏览器产品。这两大浏览器的用户全球在10亿人左右；在中国，CHROME的用户约有3.4亿人，FIREFOX用户数量在800万左右。

 

 

据了解，Google公司取消信任CNNIC的数码证书，是由于Google早前发现CNNIC颁发了多个针对Google域名的用于中间人攻击的证书。埃及一家名为MCS集团的中级证书颁发机构，发行了多个Google域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。这些证书冒充成受信任的Google的域名，被用于部署到网络防火墙中，用于挟持所有处于该防火墙后的HTTPS网络通信，成功绕过了浏览器的警告。CNNIC是负责管理维护中国互联网域名系统的国家机构。

 

上月23日，Google在其网络安全博客中披露此事件。总部设于美国纽约的保护记者委员会的安全及监察专家Tom Lowenthal表示，CNNIC这种做法严重打击了公众的信任。他说：“此类故意违规对一些用户造成潜在的严重危害，例如需要和消息人士联络的记者。”

 

CNNIC于两天后发表声明承认，CNNIC伺服器证书业务合作方MCS公司，确认其不当签发的测试证书仅用于其实验室内部测试。声明同时称，CNNIC已于3月22日撤销对MCS公司的业务授权。

 

 

话虽如此，Google经过联合调查后，还是作出了其旗下产品中全面吊销CNNIC证书的决定。换言之，只要用Google Chrome浏览含有CNNIC颁发证书的以“.cn”结尾的域名和所有中文域名的网站，均会显示不受信任的安全警告。作为过渡，Google暂时允许用户拥有选择忽略警告、继续浏览此类网站。《华尔街日报》称，“这一变动将会影响到那些加密的中国网站”，包括网址以“https”开头、“.cn”结尾的电子邮箱、网购服务等需要用户个人信息和密码的网站。

 

 

香港网络安全专家杨和生解释，每一个可能需用户输入加密资料的网站，例如银行网站，都需要购买有可信任机构发出的信任证书作为凭证，以证实该网站的真实性。假设用户在浏览某银行网站时，浏览器没有发出任何警告，则证明该网站拥有合格的信任证书，确证是该银行的网站。

 

杨和生指出，中国互联网信息中心(CNNIC)作为一个颁发证书的机构，此前曾将一个认证google的信任证书发给了google以外的公司，从而令该公司能够冒认google的网站，google用户就可能会登入该网站泄露个人资料。因此google通过浏览器发出警告，告知用户，该网站使用的是一张假证书。事后，google认为，CNNIC如此轻易发出信任证书，因此认为该机构发出的证书不可信任。

 

 

他续称，浏览器对中国网站仅会发出警告，使用与否的决定权最终在用户手上。如果用户浏览由CNNIC颁发信任证书的中国网站，浏览器就会发出警告，用户自行选择接受与否，如果继续使用该网站，则将承受网上加密传送的资料可能落在第三者手上的风险。而对于被警告的中国网站来说，如转为购买其他受信任机构的信任证书，就不会再对用户弹出警告。

 

 

 

中国互联网信息中心(CNNIC)成立于1997年，最初的主管部门为中国科学院，这是负责中国互联网管理和服务的专门机构，行使国家互联网信息中心的职责。中共十八大后，网络信息安全提高到国家安全的高度。去年12月26日，CNNIC的主管部门从中科院调整为“中央网路安全和信息化领导小组办公室、国家互联网信息办公室”。中央网络安全和信息化领导小组组长为国家主席习近平；而这两个机构的办公室主任，是被誉为中国互联网“大管家”的鲁炜。