中国技术人员与Google和Mozilla站在同一阵线─2大浏览器与中国网络安全监管者的对立

Wall of keys. Photo by Robert via Flickr (CC BY 2.0)

钥匙墙 由Robert使用Flickr拍摄 (CC BY 2.0)

中国科技专家公开声明支持Google和Mozilla撤销中国互联网络信息中心安全凭证

安全凭证是项专门性的工具,许多网站用它来保护网站本身和使用者,确保网站的联机正常。举例来说,想象你到你的网络银行转账,登入后,输入个人资料并且检查账户中的余额。银行会设法确保只有员工和客户可以观看这些数据,但是聪明的黑客会介入你和银行之间的安全连结,在此同时取得过程中传递的数据。

安全凭证是能够阻挡上述攻击的方法之一,对网络银行或网络商务而言,安全认证是无声且强力的保镳。一个没有认证的网站会被视为非法且不可信任,当用户试图进入没有合法认证的网站,通常会有警告标语(如下图)。通常用户应该要听从警告,但多数时候他们选择忽略

connectionisnotprivate

Google和Mozilla决定从四月起不再认可中国互联网络信息中心(CNNIC)所颁发的安全认证。根据Google偕同中国互联网络信息中心所做的一连串调查,在多起Google主要服务入侵事件当中,埃及资安业者MCS涉入其中一起,而中国互联网络信息中心正是该起事件的中间凭证机构。这起事件透过中间人攻击的手法,藉由指引用户到另一个独立的伪装网页,成功拦截用户和原先网页的安全连结。这类型的攻击只有可能在伪装网页从可信任当局取得数字证书的情况下发生。

作为中国的主要数字证书核发当局,中国互联网络信息中心发表声明,认为Google的决定是「不被接受和不明智的」,并且劝说Google「通盘考虑用户的权利和利益」。尽管中国互联网络信息中心保证未来会避免类似事件的发生,但Google仍决定在自家产品上撤销该数字证书。

Mozilla则在官方网站上公开自2012年来,与中国互联网络信息中心讨论误发凭证到第三方网站的问题。Mozilla曾提醒中国互联网络信息中心:「故意或蓄意错发凭证…[…]…将导致Mozilla撤销在中国产品的凭证。」

对于最近发生的事件,中国互联网络信息中心坚称那些错误凭证只是作为「测试」使用,但这也代表该中心是在知情的情况下授予「未受约束的中间凭证」到私人机构,而这明显地违反了该中心自己的凭证生效声明

这类的攻击事件在中国屡见不鲜。有网友就在中国科技部落客「月光博客(William Long)」的微博上响应,提到前一次中间人攻击的目标是微软Hotmail。

本无鬼见愁:前段时间工作用的 Hotmail 邮箱受到一次中间人攻击,然后马上把所有电脑上的 CNNIC 证书设置为永不信任,就算 CNNIC 以后不干这么龌龊的事,能达到国际公认的安全要求,我也再不会信任他家的证书了。

上面提到的攻击发生在2014年10月初微软信箱的登入页面,目标是中国境内各主要城市的“login.live.com”。从2011年起就陆续发生类似事件:2011年的Skype、2013年1月GitHub还有2014年9月Yahoo。

如同多数的网络用户一样,在微博上出现许多声音,大家都对中国互联网络信息中心的作法感到不解,网友Bfsu99则用浅显易懂的话回复penta5kill:

bfsu99:[…] @penta5kill:回复@舞法舞天丨:就是CNNIC通过假证书骗取浏览器信任然后监控用户,结果被人发现了。你可以理解成间谍把窃听器伪装成手机零配件出售给手机制造商,然后每台出厂的手机自带窃听功能

在月光博客的微博讨论串中,许多评论都支持Google和Mozilla的决定 :

xxxxoxoxoxoxo:Google宣布旗下产品删除CNNIC根证书,给CNNIC闪亮一巴掌,帮助中国人民出了一口气!支持Google,CNNIC这种机构就得扇脸!

聿渔:互联网应该团结起老对大陆网路进行封杀,禁止一切大陆网络信息外链和送出,既然要搞局域网何不帮狗共一把

____harm:一个骗子问人为什么不信任他,大家觉得可笑不?

不难想见,如同网友「海鹏在上海」所言,在中国网络内任何有关批评中国互联网络信息中心的评论都被当局给移除了。

网上搜了一下,这几天国内关于CNNIC的负面新闻和评论都被删了,国家级流氓确实牛逼

译者:Kai-Chi Lin
校对:Matt

展開對話

作者请 登入 »

须知

  • 留言请互相尊重. 内含仇恨、猥亵与人身攻击之言论恕无法留言于此.