如何看待 CNNIC 官方網站的證書改換成了 DigiCert 簽發的證書?
CNNIC 的官方網站 https://cnnic.cn 把原來由自家簽發證書換成了 DigiCert 簽發的證書,簽發日期是 2016 年 8 月 5 日,此舉意味著什麼?
估計要放棄 CNNIC SSL 這個 Root Certificate 了
CNNIC涉嫌偽造證書,到目前幾乎所有負責任的瀏覽器和操作系統廠商都把它給吊銷了,他自己不更換首頁的證書的話,用戶就沒法訪問了。
更何況,CNNIC除了CNNIC Root這個CA以外,還有個China Network Information Center的馬甲。由於涉嫌偽造證書等行為,CNNIC的證書已經被各大操作系統和瀏覽器廠商吊銷了。它自己要不更換,用戶訪問會提示網站有問題。
cnnic,wosign,starcom以及有china相關的證書請吊銷
這個名為MCS集團的中級證書頒發機構發行了多個谷歌域名的假證書,而MCS集團的中級證書則來自中國的CNNIC。
只需要停掉mcs集團就可以,為什麼把無關的cnnic拖進來呢? 我表示不理解
谷歌:聯繫了CNNIC,CNNIC在3月22日回應稱,CNNIC向MCS發行了一個無約束的中級證書,MCS本應該只向它擁有的域名發行證書,但 MCS將其安裝在一個防火牆設備上充當中間人代理,偽裝成目標域名,用於執行加密連接攔截(SSL MITM)。企業如出於法律或安全理由需要監控員工的加密連接,必須限制在企業內網中,然而防火牆設備卻在用戶訪問外部服務時發行了不受其控制的域名的證 書,這種做法嚴重違反了證書信任系統的規則。這種解釋符合事實,然而,CNNIC還是簽發了不適合MCS持有的證書。
客觀上,這次取消cnnic的結果有
1)https證書必須到國外網站申請了。這筆錢,ccnic賺不到咯。
2) 國內大量用cnnic證書的公司不得不重新購買證書。
結論,必有隱情!
推薦閱讀:
※Chrome下HTTPS證書的「沒有公開的審核記錄」是什麼意思?
※WordPress SSL css,js樣式不載入 http如何修改成https?
※HTTPS必須在每次請求中都要先在SSL層進行握手傳遞秘鑰嗎?
※TLS 1.2 基於DH是如何交換密鑰?
TAG:網路安全 | 中國互聯網路信息中心 | SSL | HTTPS | 中間人攻擊 |