[本報訊]谷歌(Google)周三表示,不再信任經中國互聯網絡信息中心(CNNIC)驗證的網站。Google於今年3月發現埃及的資安業者(MCS)透過中國CNNIC所發行的中間憑證假冒了Google網域,這些假憑證讓使用者誤以為所造訪的是Google網站,衍生中間人攻擊的風險。
雖然MCS表示,公司是與CNNIC合作進行新服務測試時,不小心自動產生Google憑證,強調相關憑證並無外流。不過,Google堅決封鎖來自CNNIC的憑證與EV (Extended Validation) 憑證,CNNIC今日則批評Google不再承認由該中心頒發的網站信任證書的決定「難以理解和接受」,並敦促谷歌「充分考慮和保障用戶權益」。
安全證書類似於一個網站或網上服務的指紋認證,負責告訴瀏覽器網站或網上服務的安全性。Google的決定意味著,當用戶使用Google產品,例如Chrome瀏覽器,登錄由CNNIC頒發證書的網站時,可能會收到一個關於安全性的警告信息。目前仍未知有多少網站會受此影響,但為減少對用戶的影響,Google將會使用白名單,允許短時間內繼續信任CNNIC現有的證書。
