当删除CNNIC根证书后,用户如果运行CNNIC根证书授权的网页,会收到安全警告的通知,比如需要重新输入登录信息;如果没有谷歌认可的根证书,一些网上银行或涉及交易资金的网页也将无法正常运行。
CNNIC作为中国信息社会基础设施的建设者和运行者,谷歌的这一举措无疑会对CNNIC造成一定影响。有业内人士认为,CNNIC此次事件发生之后,可能影响国内用户对国产SSL证书的信心,很多企业将会继续偏向GlobalSign等国外品牌的SSL证书。
4月2日,CNNIC发布声明,对谷歌做出的决定表示“难以理解和接受”, 并表示会敦促谷歌“充分考虑和保障用户权益”。与此同时,CNNIC还给原有用户打了包票,声称会维护他们的权益。
4月3日,Mozilla也加入谷歌阵营 ,在官方博客上宣布,自己也将删除CNNIC的根证书。Mozilla表示它们在短时间内将暂时继续信任CNNIC的证书,如果后者能在限定期限内尽快解决这一问题的话,它们会考虑撤销这一决定。
谷歌吊销cnnic证书,人和人的信任就这样破裂了。
Google与火狐先后发表声明称,它们旗下的浏览器,将停止信任来自中国互联网络信息中心(CNNIC)颁发的数字证书。而中国互联网信息中心(CNNIC)目前是中国最大的数字证书颁发机构。
Google表示,为缩小因此项决议受到影响的客户范围,将在限定时间内把CNNIC现有证书拉入白名单保持继续信任,而CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。
此外,火狐也发表了CNNIC重新申请其授权许可的声明。火狐表示,如果CNNIC满足了Google和火狐提出的要求,这些限制将会被取消。
此举意味着,对于存在货币交易的网站而言,将停止运营(任何与此授权证书相关的银行或是商业网站都将因为没有安全许可而停止转账)。
事实上,Google并未透露该项措施的具体实施时间。有业内人士认为,这将为即将受到影响的网站提供充足时间来更换授权机构。
根据最新Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书来自CNNIC与某个公司的一项合同,合同规定该公司仅用CNNIC提供的Sub CA证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。
据了解,中国互联网络信息中心(CNNIC)是经国家主管部门批准,于1997年6月3日组建的管理和服务机构,行使国家互联网络信息中心的职责。