class="topic_img" alt=""/>
英文原文:Revoking Trust in one CNNIC Intermediate Certificate
根据最新 Mozilla 安全博客的博文,CNNIC 被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的 HTTPS 网络通信,而绕过浏览器警告。
该证书来自 CNNIC 与某个公司的一个合同,该合同规定该公司仅用 CNNIC 提供的 Sub CA 证书签发属于自己公司名下的网站。但被 Google 发现该证书被用于部署到防火墙中,用于劫持该网络中的所有 HTTPS 通信。
Chrome 及 Firefox 默认会校验 Mozilla 及 Google 旗下所有的网站的证书,因此被 Google 发现并报告了该问题。
Firefox 从 37 开始将引入 OneCRL 机制,将建立证书黑名单,拦截被滥用及不安全的证书。
目前 Mozilla 正在商讨对 CNNIC 根证书的处理。
相关文章
