Google宣布旗下所有产品全面吊销CNNIC根证书
昨日,Google在Google Online Security上宣布Google旗下所有产品将全面吊销CNNIC根证书,中国互联网信息中心(CNNIC)认证的网站将不再被Google认为是安全的。
在3月份,由埃及中级CA MCS制作的假证书事件仍然在发酵,即Mozilla宣布旗下Firefox浏览器撤销中级CA MCS证书后,Google宣布旗下所有产品全面吊销CNNIC根证书(CNNIC Root)。
MCS在上个月伪造Google旗下产品如Gmail证书后进行劫持后,被Google发现,Google发现MCS的中级证书由中国的根CA机构CNNIC颁发。
尽管后来CNNIC宣称对MCS伪造Google旗下产品证书的事件不知情,但也显示了CNNIC对证书管理不善导致了这次事件。
Google表示,如果CNNIC实施技术手段及流程改进杜绝这类事件再次发生,可以重新申请加入。
现有CNNIC证书客户讲暂时以白名单形式继续支持一段时间作为过渡,也就是说,如果CNNIC不进行改进,而使用CNNIC颁发证书的网站、产品也没有更换其他CA机构颁发的证书,那么这些网站和产品将被Google封杀。
CNNIC对此事件已经发布声明,声明中称CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益、CNNIC将切实保障已有用户的使用不受影响。
根据国外未经证实的消息源,微软和Mozilla上周也取消了这些经授权的信任证书。