2015年4月2日星期四

《华尔街日报》谷歌不再承认CNNIC颁发的信任证书

中国互联网络信息中心(China Internet Network Information Center)周四批评了谷歌(Google)不再承认由该中心颁发的信任证书之决定,这是中国和外国科技公司之间互不信任的又一迹象。

谷歌周三表示,将不再信任经中国互联网络信息中心验证的网站;该中心负责管理维护中国互联网地址系统。谷歌称,将不再承认由该中心颁发的、用于验证网站具有合法业务的信任证书。这种证书保存在托管网站的服务器上,供互联网浏览器查阅,旨在保护互联网用户不受身份信息外泄和所谓钓鱼网站等欺诈行为的影响。

谷歌这一决定意味着,对于其Chrome浏览器的用户,任何由中国互联网络信息中心认证的新网站都会被标上警示信息,称谷歌无法验证该网站的安全性,用户不应打开该网页。

中国互联网络信息中心在其网站上发布声明称,对谷歌作出的决定“难以理解和接受”,并敦促谷歌充分考虑和保障用户权益。该中心还表示,将保障已有用户的使用不受影响。

对于谷歌所发的声明,该公司一位发言人未予详述说明。

谷歌周三在官方安全博客上说,在与互联网络信息中心就埃及公司MCS Holdings钻了安全漏洞一事展开联合调查后,决定不再接受互联网络信息中心的证书。尽管谷歌判定MCS滥用证书的举动并非恶意为之,但它指责称,互联网络信息中心给了这样一家公司太多授权,而这家公司根本不适合享有这样的授权。MSC则承认自己不该创建未经授权的证书,并表示已经迅速改正了这个错误。

谷歌表示,在改进完验证流程后,中国互联网络信息中心可以申请让谷歌再次接受其证书。与此同时,在一段有限的时间之内,已经拥有该中心证书的网站在Chrome上仍然会被标记为“可信任的”。但谷歌没有就此详述。

这一变动将会影响到那些加密的中国网站,其网址以“https”开头、以“.cn”结尾。这种类型的网站包括电子邮箱、网购服务以及其他需要用户输入个人信息、密码的站点。