根据新 Mozilla 安全博客的博文,CNNIC 被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。
该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google发现并报告了该问题。
Firefox 在 37 版本之后增加了 CRL 黑名单,就是对网站使用的 SSL 证书进行黑/白名单话,和网站的黑名单一样,这样就增加了DV 证书颁发的使用中有效性验证,如果证书通过 CA 审查颁发,在使用过程中却被作为钓鱼之用,Firefox 就会把这个证书加入到黑名单中,阻止用户访问该网站,增强用户安全性。
目前 Mozilla正在商讨对 CNNIC 根证书的处理。
CNNIC 简 介:中国互联网络信息可信(China Internet Network Information Center,简称CNNIC)是经国家主管部门批准,于1997年6月3日组建的管理和服务机构,行使国家互联网络信息可信的职责。 作为中国信息社会基础设施的建设者和运行者,中国互联网络信息可信( CNNIC )以“为我国互联网络用户提供服务,促进我国互联网络健康、有序发展”为宗 旨,负责管理维护中国互联网地址系统,指引中国互联网地址行业发展,可信发布中国互联网统计信息,代表中国参与国外互联网社群。
另外,如果用户需要申请国外 CA 证书(国外品牌的 SSL 证书),目前可以通过 www.shuzizhengshu.com 这个接口来申请。
