首頁 > 網路科技 > 使用大陸CNNIC簽發的SSL證書的網站一定要注意了

使用大陸CNNIC簽發的SSL證書的網站一定要注意了

Google在3月23日在所屬安全部落格中發布一項通知,將Google旗下的Chrome瀏覽器移除對CNNIC根證書的信任,同一天Mozilla所屬的Firefox瀏覽器也通知同步跟進。當然CNNIC在4月2日也提出了反擊聲明譴責Google

CNNIC聲明

會把Google給惹毛的主因,是因為Google發現埃及的MCS Holding公司利用CNNIC簽發的證書偽造Google多個網址證書。雖然CNNIC與MCS Holding的合約規定僅限於MCS Holding自己旗下的網站使用,但是Google發現這些證書被用到某些地方的防火牆中,用於劫持所屬網路的https連線。

其實在大陸上不了Google也是用了同樣的方法,除了劫持SSL,大陸也劫持了DNS,所以當你位於大陸的時候,根本就上不了Google。

對於一般人來說可能初步不會感覺到沒什麼不方便,但是慢慢的就會發現,在瀏覽一些https網站時,瀏覽器都會出現此證書不可信任的警告頁面。而https的網站一般用做為登入、購買、輸入個人訊息…等加密內容。當然懂得使用者能夠自行加入認證,可是一大堆不懂的上網者發現這個問題,就直接離開,不再繼續瀏覽了,對於很多做電子商務的網站來說是一項很致命的問題。

對於台灣的使用者來說,最可怕的就是IE的ActiveX元件產生的風險,大陸的網站畢竟什麼合法的盜版軟體都有,很多台灣人也都會去下載安裝。很多惡意軟體也會利用IE的ActiveX技術安裝到電腦上。後來微軟加強了ActiveX的簽名驗證,在預設的情況下沒有或不信任的數位簽名是不允許安裝。但是很多ActiveX使用了CNNIC的數位簽名,在之前CNNIC的根目錄還是信任的情況下,那些惡意軟體自然就順利安裝到自己的電腦上。很多人的IE被劫持的原因也在這。

由於大陸的SSL證書因為價格便宜許多,很多網站的站長都會購買使用,所以為了避免造成不必要的麻煩,還是建議購買國外品牌的SSL證書比較穩妥,例如GlobalSign…等,雖然貴了一點,但是起碼不會造成困擾。

發表留言

您的電子郵件地址將不會被公開標記為必填欄位 *

*

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料