根据谷歌官方安全博客报道,谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书,而MCS集团的中级证书则来自中国的CNNIC。
该证书冒充成受信任的谷歌的域名,被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。
谷歌联系了CNNIC,CNNIC在3月22日回应称,CNNIC向MCS发行了一个无约束的中级证书,MCS本应该只向它拥有的域名发行证书,但MCS将其安装在一个防火墙设备上充当中间人代理,伪装成目标域名,用于执行加密连接拦截(SSL MITM)。企业如出于法律或安全理由需要监控员工的加密连接,必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证书,这严重违反了CA管理机构的权限。
CNNIC作为根CA被几乎所有操作系统和浏览器信任,谷歌已经将这些情况通知了所有的主流浏览器,谷歌所有版本的Chrome浏览器(包括Windows、OS X、Linux版)、Firefox等浏览器都会拦截这些证书,Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。同时谷歌建议相关人员修改谷歌帐号的密码。尽管如此,CNNIC依旧拥有大量权限,而其本身并不是适合拥有这些权限的机构。
这件事情再次显示,证书透明度是保护证书安全的关键所在。
谷歌英文博客原文:Maintaining digital certificate security
Mozilla英文博客原文:Revoking Trust in one CNNIC Intermediate Certificate