谷歌(Google)在中国卷入一起围绕网页安全的争端。该公司决定不再信任由中国互联网络信息中心(CNNIC)发放的网站安全信任证书,而CNNIC称这一决定"难以理解和接受"。
在实际操作中,谷歌拒绝承认这一证书,意味着今后其用户在访问中国部分以".cn"域名结尾的网站时,会因安全上的不确定性收到谷歌的警告。
上周,谷歌在其安全博客上表示,CNNIC曾允许一家转包商发放未经授权的数字化认证。这种数字化认证被互联网浏览者用于确认网站的合法性。
一位IT公司主管表示:"从根本上说,这种认证确保一家网站的一切与它声称的一致。"这种认证机制是为了防范"钓鱼(phishing)"或"中间人"攻击之类的欺诈手法。在钓鱼式欺诈中,用户会被骗去信任假的网站。而中间人攻击是指,黑客通过不安全的链接改变网络访问的路径,从而拦截用户的登陆细节信息。
3月23日,谷歌在一篇博客文章中表示,总部驻埃及的MCS公司获得了CNNIC的转包合同,可以发放数字化认证(CNNIC将这一工作转包出去十分常见),但MCS却"严重违反了证书信任系统的规则"。不过,谷歌补充说,它不认为该公司是出于网络攻击的目的发放这批非授权认证的。
谷歌表示:"我们并未发现滥用迹象,也不建议人们修改密码或采取其他措施。"
在与CNNIC磋商之后,谷歌周三表示,会不在新人前者新发放的认证。不过,谷歌将继续认可由CNNIC通过一份"白名单"提供给谷歌的现有认证。这份白名单将会公布在互联网上。
谷歌表示:"我们赞赏CNNIC积极主动的举措,并欢迎他们在技术和手续上建立适当的管控机制后再次提出申请。"
考虑到这一决定的措辞总体上并无敌意,CNNIC在周四作出激烈回应,意味着这一事件已升级为更高层次的政治争端。就在周四,谷歌博客上解释其决定的文章在中国已被禁止访问。
CNNIC表示,"将切实保障已有用户的使用不受影响",并表示"对谷歌公司做出的决定表示难以理解和接受"。
发生这一争端之际,CNNIC正处于特别敏感的时期。在此之前,代码分享网站Github上周曾遭遇网络攻击。Github总部在旧金山,是一家软件开发人员在线论坛网站,还托管着中国互联网用户上传的用于"翻墙"的工具软件。
那次互联网攻击似乎源自中国,引起了人们对中国互联网安全架构的关注。
长期以来,部分倡导中国网络自由的人士一直在敦促主要软件厂商废除由CNNIC发放的认证书。
Greatfire.org网站的查理•史密斯(Charlie Smith)表示:"我们对这一举措已呼吁了一年以上。中国当局一直在恶意利用他们作为认证权威机构的权力,多次发动十分危险的网络攻击。这些攻击导致许多外国媒体平台上的用户敏感信息泄露。"Greatfire.org网站一直在监视中国的互联网审查机制。
不过,Getlantern.org网站的亚当•菲斯克(Adam Fisk)否认谷歌此举与Github所受攻击有任何联系。
菲斯克表示,对Github的攻击"可能令谷歌安全团队更倾向于做出这一举动。不过,仅仅是CNNIC存在发放虚假中级认证书这一事实,就足以让谷歌有权采取这一措施"。
自2010年谷歌因担心隐私问题而撤出中国内地以来,中国与谷歌的关系一直不好。去年,多数谷歌服务在中国都被封禁。
译者/何黎
博文
