文档章节

影响有限,不必惊慌-小评谷歌删除cnnic证书事件

老不可破联盟
 老不可破联盟
发布于 2015/04/13 16:14
字数 1123
阅读 166
收藏 0

据国外媒体报道,谷歌在4月1日更新了安全博客,宣布旗下产品将删除中国互联网信息中心(CNNIC)根证书,接着火狐也加入谷歌阵营,宣布将不再信任CNNIC证书。此消息一出,国内媒体议论纷纷。但也许是受限于专业知识的缺失,部分国内媒体对该事件的报道出现了误读,这种误读主要可以归纳为两点:

1.当使用chrome上网时,如果浏览的网页没有CNNIC根证书授权,将极有可能受到漏洞危险。

2.如果Chrome和火狐停止支持CNNIC颁发的授权证书,成千上万的国内网民将无法上网。


这些误读可能会让普通网民产生一丝忧虑,所以我们认为很有必要从更专业些的角度来澄清一下此次事件的影响。下面就从三个角度来讲一讲:

1.被谷歌删除的cnnic证书是怎样的一张证书?

这张证书叫SSL证书(服务器证书),它被安装在网站的服务器上,并发挥两个作用:其一是加密浏览器与网站之间的信息传输,防止其被窃取。其二,直观点说就是给网站发了一个如身份证那样具有唯一性的证明,防止站点被仿冒。

2.谁来签发SSL证书?

SSL证书是由第三方CA(证书授权机构)签发的,如赛门铁克、CFCA,也包括此事件中的cnnic。cnnic或其他CA的SSL证书在获得微软、谷歌等公司的信任后,才能将根证书植入IE、chrome等浏览器中。

3.CNNIC证书被删除后,网民上网会受哪些影响?

Cnnic将SSL根证书植入chrome后,当网民用chrome浏览器访问安装了cnnic服务器证书的网站时,不会弹出安全警告,因为chrome信任cnnic证书。但现在的情况时,谷歌删除了cnnic根证书,也就是不再信任它。当网民再按以上场景操作时,chrome就会警告浏览者此网站的证书可能有问题,建议不要继续访问。


综上所述,我们再回到前面提及的两种误读,就不难发现:

1.如果网站没有安装合法、正规CA签发的SSL证书,将存在安全漏洞,这与其是否有CNNIC根证书授权无关。

2.SSL证书,不管是哪家CA签发的,都与能否上网无关。这是ISP(互联网服务提供商),如电信、联通负责的事情。

 

那么此次事件会造成很大影响吗?就像本文标题写的——影响有限,不必惊慌。这么说主要基于两点:

1.安装cnnic证书的网站极少。

虽然SSL证书很重要,但目前在国内的普及率还不高,主要还是银行保险、P2P网贷、电子商务等涉及资金安全的平台会安装。这些平台出于安全考虑,一般都会选择国外的赛门铁克及国内CFCA的证书,很少有安装cnnic证书的。

2.安装cnnic证书的网站会尽快更换证书。

设想一下,访客刚点开你的网站,浏览器就警告这家网站的SSL证书不受信任,这会让你丢失多少宝贵的流量?所以,那些安装cnnic证书的网站会尽快将证书更换为可信CA的产品,该事件造成的影响和不便也将继续降低。

最后要说的是,此次事件再次提醒网站主们要谨慎选择SSL证书,一定要安装由正规合法CA经严格审核签发的证书 (国内网站可优先考虑国内大型CA)。否则将有可能造成网站访客的流失,而更换SSL证书也是一件费时费力、增加成本的事情。


© 著作权归作者所有

老不可破联盟
粉丝 0
博文 14
码字总数 2684
作品 0
西城
私信 提问
如何删除Windows 8 CNNIC证书

今天看到一张帖子写着CNNIC证书的危害及各种清除方法:http://blog.csdn.net/program_think/article/details/5309699 CNNIC证书的危害及各种清除方法,我把几台机器的CNNIC证书移除掉,然后又...

Google最好搜索
2013/05/13
1K
0
CNNIC公布中国互联网十件大事

新浪科技讯 4月20日下午消息,中国互联网络信息中心(CNNIC)刚刚公布由其发起的“中国互联网发展十件大事”的网民票选结果,“网民规模世界第一”、“5·12震灾报道”等2008年重大事件入选。 ...

红薯
2009/04/20
441
0
Mozilla 发现用于中间人攻击的证书

根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。 该证书来自C...

oschina
2015/03/25
3.7K
31
Windows 8.1有没有自带CNNIC证书?

你们Windows 8.1有没有自带CNNIC证书?我在csdn发现有人说8.1中自带了cnnic证书,我自己看了一下并没有看到该证书,我的是英文版+中文补丁包。你们的证书中有没有cnnic证书?我本来还准备移除...

kdrhrg
2013/09/09
263
0
火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任

匿名读者 写道"本星期 Google 宣布完全取消对沃通和 StartCom 的信任。现在火狐也跟进,准备完全取消对沃通, Startcom 和 CNNIC 的信任。火狐,Google 和苹果已经不信任沃通, Startcom 和 CN...

两味真火
2017/07/11
3.4K
72

没有更多内容

加载失败,请刷新页面

加载更多

Django笔记-3-模型-20190526

简介 django为各种数据库提供了很好的支持,django对这些数据库提供了统一的调用API;可以根据不同的也无需求选择不同的数据库; 配置数据库 在setting.py文件中配置数据库 DATABASES = { ...

Frank1126lin
42分钟前
3
0
OSChina 周日乱弹 —— 程序员做噩梦

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @-冰冰棒- :#今日歌曲推荐# 手嶌葵《Kiss The Girl》 《Kiss The Girl》- 手嶌葵 手机党少年们想听歌,请使劲儿戳(这里) @Sharon啊 :今天...

小小编辑
今天
170
11
Another app is currently holding the yum lock; waiting for it to exit...

Another app is currently holding the yum lock; waiting for it to exit... The other application is: PackageKit Memory : 153 M RSS (266 MB VSZ) Started: Thu Jul 12 00:03......

圣洁之子
今天
2
0
FastDateFormat 研究

FastDateFormat 对缓存的利用,其实就是用ConcurrentHashMap 做了一个map类型的缓存 public F getInstance(final String pattern, TimeZone timeZone, Locale locale) { Validate......

暗中观察
今天
4
0
Android双向绑定原理简述

Android双向绑定原理简述 双向绑定涉及两个部分,即将业务状态的变化传递给UI,以及将用户输入信息传递给业务模型。 首先我们来看业务状态是如何传递给UI的。开启dataBinding后,编译器为布局...

tommwq
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部