CNNIC 就是中國大陸的認証機構,由中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室控制,是世界上其中一個權力最大的 root 認証機構,大部份大陸的 SSL 認証都是由這個機構發出。
而這個機構曾開發流氓軟件「中文上網官方版軟件」,會強制安裝和無法徹底删除。還將列這個軟件為流氓軟件的公司告上法庭,所以不少人都不信任由這間機構發出的証書。不過可惜大部份瀏覽器都會會信任它的証書。
中間人攻擊
SSL 是由連線就是保障由用戶端到伺服器端的內容都不會被任何人截取,所以用來保護使用者名稱和密碼、信用卡資料、cookie 等等。
不過「壞處」則是 Big Brother 只知道你曾到過那個網站,但卻不知你瀏覽的內容,所以它們會非常擔心你看了那些「不健康」的內容。
所以中間人攻擊成為了其中一個可行的方法,它會在路由器安裝一個假的 SSL 認証,用戶瀏覽那個網站會誤認為是安全而放心將資料交給中間的路由器,危害了保密性。而其中一次著名的國家級攻擊就如某國家攔截了 GitHub 的認証,和另一次攻擊 Apple iCloud Server
今次事件起因為 CNNIC 給了另一間公司 MCS 發佈制造任何 SSL 憑証的權力,雖然 MCS 聲稱將它用在受保護的實驗室內,但那 Firewall 有 SSL forward proxy 功能,會為任何瀏覽的網址產生 SSL 憑証,而工作人員瀏覽 Gmail 時就產生了 Google 的 SSL cert.
MCS 表示是人為疏忽,不過 CNNIC 竟然給 MCS 這麽大的權力,本身這行為就有很大問題,幾乎無皇管。
今次或許未做成大問題,但是根本 CNNIC 過往的紀錄,都是小心一些好一點。
- 資料來源:
- Google : Maintaining digital certificate security
- Revoking Trust in one CNNIC Intermediate Certificate
- 谷歌称CNNIC发布中间人攻击证书-月光博客
- Google網域假憑證事件:肇事者MCS說明,純屬人為疏失
姓名標示-非商業性-相同方式分享 4.0 國際 (CC BY-NC-SA 4.0)