CNNIC发行的一个中级CA被发现发行了Google域名的假证书,该中级CA证书已被Chrome和Mozilla Firefox撤销。Google官方博客称,3月20日他们发现埃及的中级CA MCS Holdings发行了多个Google域名的假证书,而MCS Holdings的中级证书则由中国的CNNIC发行,CNNIC作为根CA被几乎所有操作系统和浏览器信任。Google 联系了CNNIC,CNNIC在3月22日回应称,MCS本应该只向它注册的域名发行证书。在此案例中,CNNIC向MCS发行了一个无约束的中级证书,MCS将其安装在一个防火墙设备上充当中间人代理,用于执行加密连接拦截(SSL MITM)。企业出于法律或安全理由需要拦截雇员的加密连接,但必须限制在企业内网中且应该内建CA,而不是使用中级CA。
via Solidot
via Solidot
没有评论:
发表评论