按 Enter 到主內容區
:::

TWCERT-電子報

:::

Mozilla加入Google,抵制來自CNNIC的憑證

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-03-22
  • 點閱次數:500

Mozilla指出,根據CNNIC現行的憑證政策與憑證實務作業基準,CNNIC根本不該頒發此給埃及MCS的中繼憑證,即使只是作為測試使用。Mozilla並表示,會一視同仁地對待發生類似錯誤的憑證發行機構。

繼Google宣布旗下產品將不再承認來自CNNIC的憑證之後,Mozilla也表示,經過調查與討論後,他們也決定不再讓Mozilla的產品Firefox信賴CNNIC自今年4月1日之後所頒發的任何憑證。

CNNIC在最近頒發一個中繼憑證(intermediate certificate)給埃及的資安業者MCS作為測試新的雲端服務之用。不過,該憑證得以發行其他不屬於MCS的網域憑證,而且被置放在MCS具備HTTPS流量偵測能力的防火牆裝置內,在MCS工程師透過Chrome瀏覽器造訪Google服務時自動產生了Google憑證,而被Google發現。
Mozilla認為,MCS並無開發憑證實務作業基準,未被允許執行金鑰產生程式,也無時點準備評估,在合約之外缺乏其他任何形式的控制,而MCS也坦承CNNIC並未指導他們如何安全的儲存或管理此一不受限制的中繼憑證。
Mozilla指出,根據CNNIC現行的憑證政策與憑證實務作業基準,CNNIC根本不該頒發此一中繼憑證,即使只是作為測試使用。
原本Mozilla與Google一樣都是將來自CNNIC或其他可信賴憑證機構所發行的根憑證與延伸驗證(EV)憑證存放在根憑證儲存區,不過,在此一意外發生後,Mozilla決定追隨Google的腳步,不再信賴CNNIC於4月1日以後頒發的任何憑證,這代表Mozilla的根憑證儲存區將不再收納CNNIC的新憑證。
Mozilla將要求CNNIC提供在4月1日以前頒發的有效憑證名單(白名單),也歡迎CNNIC申請被完整地重新納入根憑證儲存區,還表示會一視同仁地對待發生類似錯誤的憑證發行機構。​

 

參考連結: http://www.ithome.com.tw/news/95009

回頁首