根据最新 Mozilla 安全博客的博文,CNNIC 被发现颁发了用于中间人攻击的证书。该证书来自 CNNIC 与某个公司的一个合同,该合同规定该公司仅用 CNNIC 提供的 Sub CA 证书签发属于自己公司名下的网站。但被 Google 发现该证书被用于部署到防火墙中,用于劫持该网络中的所有 HTTPS 通信。Chrome 及Firefox 默认会校验 Mozilla 及 Google 旗下所有的网站的证书,因此被 Google 发现并报告了该问题。
3月24日,针对有关媒体发布“谷歌称CNNIC发布用于中间人攻击证书”的报道,CNNIC发出了官方声明。原文地址:http://www.cnnic.net.cn/gywm/xwzx/xwzxtzgg/201503/t20150325_52018.htm
声明如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。
中国互联网络信息中心(CNNIC)
2015年3月25日 |
