中國網絡安全證書遭谷歌否定 網絡自由安全為空談

2015-04-02|来源: |标签:谷歌 網路 安全 CNNIC 防火牆 

美國時間4月1日晚,美國網絡公司谷歌宣布,將不再承認由中國互聯網絡信息中心(CNNIC)發放的網絡安全信任證書。這種證書保存在托管網站的服務器上,旨在防止互聯網用戶身份信息外泄以及被所謂釣魚網站等欺詐行為影響。這種證書是互聯網通訊安全的基本保障。如果證書遭到破壞,不法分子將可暢通無阻于互聯網世界,使互聯網安全秩序大亂。

美國信息技術網站《TechCrunch》4月1日報導說,這件事情意義重大,因為CNNIC是中國的頂級域名.cn和中文域名注冊管理的最高管理機構。

谷歌的這一決定意味著,許多使用谷歌瀏覽器的用戶訪問中國部分以“。cn”域名結尾的網站時,會因安全上的不確定性收到谷歌的警示信息,此外,許多使用谷歌瀏覽器的用戶將不能與銀行和電子商務網址進行聯通。

上周,谷歌在其安全博客上表示,發現CNNIC曾允許埃及公司MCSHoldings為不同的谷歌域名發布未經授權的信任證書,“嚴重違反了證書信任系統的規則”,從而導致重大安全隱患,使得用戶和這些網站之間的聯系有可能受到“中間人攻擊”黑客攻擊。

所謂“中間人攻擊”,是指攻擊者與通訊的兩端分別建立獨立的聯系,并交換其所收到的數據,使通訊的兩端以為他們正在與對方直接對話,而事實上整個會話都被攻擊者完全控制。攻擊者還可攔截通訊雙方的通話,插入新的內容,并獲得密碼等信息。

此外,經營互聯網瀏覽器的微軟和Mozilla公司也表示將不再認可中國互聯網絡信息中心的數碼證書。

其實這個舉措對于中國來說并不是致命打擊。此舉措將被運用到未來Chrome瀏覽器的更新中,因此,現階段谷歌會保留現有證書的有效性。另外,據科技新聞媒體TheVerge分析,中國政府出于增強防火墻的目的,一直以來不鼓勵中國網路公司使用HTTPS,所以該中心的證書市場額在所有網站證書中占不到0.1%。

谷歌說歡迎CNNIC在更換合適的技術和程序控制之后再申請谷歌的認可。

對于谷歌公司的好言相勸,中共方面發布一份聲明進行譴責,宣稱“谷歌作出的決定對CNNIC而言是不可接受、不可理解的”。就在谷歌公司公布其決定的第二天,谷歌博客上解釋其決定的文章在中國已被禁止訪問。

CNNIC還說:“對于CNNIC已經發布證書的用戶們,我們保證你們的合法權利和利益將不會受到影響。”《金融時報》報導說,CNNIC殺氣騰騰的語氣暗示更高級別的政治手段已經卷入。

谷歌禁止CNNIC認證網站的決定相當不尋常。專家指出這是自從Mozilla在2011年發生安全入侵之后刪除荷蘭DigiNotar根證書之后,某個認證機構首次遭到類似懲罰。

《金融時報》報導說,這場爭端對于CNNIC而言發生在一個特別敏感的時刻。上周位于舊金山的編碼共享網站Github受到網絡攻擊。這個網站是軟件開發者的論壇,中國互聯網用戶也利用其中一些工具來繞過中共長城防火墻,而攻擊來源恰恰可能與長城防火墻有關。

長期以來,致力于關注中共當局網絡審查、協助中國大陸網友“翻墻”的美國網站《巨火》(greatfire.org)就不斷倡導,廢除由CNNIC發放的人證書。

巨火網站通過收集大量觀測和實驗數據判定,近期針對谷歌、微軟、雅虎等公司的中間人攻擊皆發生在中國,并且得益于CNNIC發放的數碼證書。

自從谷歌搜索引擎2010年撤出中國大陸之后,中共跟谷歌的關系就躁動不安。去年大多數谷歌服務在中共被屏蔽。

shenyun performing arts
Hot
Copyright © 2010-2012 SOHCRadio All Rights Reserved.
地址:2220 Midland Ave., Unit 87, Toronto M1P 3E6, Canada    電話:416-737-0431
友好鏈接:希望之聲縂臺 | 台灣手機台 | 巴黎生活臺 | 灣區生活台 | 英倫生活台 | 澳洲生活台 | 中國事務 | 新唐人加拿大 | 大纪元欧洲网 | 看中國