Google： CNNIC 发布给 MCS 的证书可能会被用作冒充其他网站

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3517 天前的主题，其中的信息可能已经有所发展或是发生改变。

Google 原文 http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html

新闻
http://arstechnica.com/security/2015/03/google-warns-of-unauthorized-tls-certificates-trusted-by-almost-all-oses/

中文
http://www.cnbeta.com/articles/379745.htm
这标准的机翻味...

谷歌称，在3月20日发现有未经授权的数字证书，冒充成受信任的谷歌的域名。由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。谷歌警告称此证书可能会冒充其他网站。

证书

mcs

冒充

19 条回复 • 2015-03-24 20:14:21 +08:00

kiritoalex

2015-03-24 11:59:01 +08:00

所以必须禁用掉。。。

9hills

2015-03-24 12:05:23 +08:00

CNNIC 做大死，证书这个东西作恶就是铁证啊
Google和Firefox都在讨论对CNNIC的处理办法，被集体吊销了就好了。。

wy315700

2015-03-24 12:09:58 +08:00

@9hills 不是CNNIC的问题吧，是CNNIC下面的MCS的问题吧。。。

bigtan

2015-03-24 12:15:48 +08:00

证书体系是个信任链，上级必须为下级的信用担保，有审核和监督的义务。

learnshare

2015-03-24 12:19:49 +08:00

是要屏蔽掉全部证书么，那可大发了

Stof

2015-03-24 12:24:22 +08:00 via iPhone

@9hills 同意，不过手机端的不知怎么处理

xierch

2015-03-24 12:28:25 +08:00

"However, CNNIC still delegated their substantial authority to an organization that was not fit to hold it."

Google 只是说 CNNIC 把中间证书签发给 MCS 不合适.. 语气平和…

yuhaaitao

2015-03-24 12:28:26 +08:00

早晚要把google玩坏呀

faintcat

2015-03-24 12:36:44 +08:00

小清新们会跳出来说CNNIC只是个无辜的孩子么

publicID001

2015-03-24 12:37:10 +08:00 via Android

@wy315700 信任链+1 CA很少直接签发终端证书，基本是给子CA，但子CA出了问题父CA没责任的话要父CA何用

unknowartist

2015-03-24 13:20:41 +08:00

走代理

kn007

2015-03-24 13:21:01 +08:00 via Android

最好吊销

binux

2015-03-24 13:28:23 +08:00

CNNIC 肯定有责任，但是这事又不是只有 CNNIC 出过，https://blog.mozilla.org/security/?s=Revoking 。看看 CNNIC 还能作死几次。

EPr2hh6LADQWqRVH

2015-03-24 13:37:34 +08:00

CNNIC要是被吊销那还不得赔崩掉，连保险公司恐怕都要陪崩掉

这把保险费肯定要涨了，但是吊销证书不至于。

v2015

2015-03-24 14:04:04 +08:00

一直怀疑中间人攻击被安卓手机端不严谨或者ROOT后而大量滥用

NewYear

2015-03-24 17:03:12 +08:00

期待作恶然后自动吊销

l0wkey

2015-03-24 19:04:34 +08:00

@kiritoalex 手动禁掉了的话，战网就悲剧了

2015-03-24 19:44:24 +08:00

早就吊销了

kiritoalex

2015-03-24 20:14:21 +08:00 via iPhone

@l0wkey 我又不玩战网