Mozilla撤销对CNNIC证书的信任

Mozilla与Google一起撤销了对中国互联网络信息中心(CNNIC)证书颁发机构颁发的证书的信任。

CNNIC是人民信息产业部下属的互联网事务管理机构’中华民国,并在中国运营和管理’的域名注册机构,国家’的代码顶级域名( .cn )和中文域名系统。

“共同调查周边事件的结果 这件事 由Google和CNNIC共同决定,我们将不再在Google产品中识别CNNIC根目录和EV CA,”Google安全工程师Adam Langley 宣布 在星期三。

“在审查了情况并在公共邮件列表上进行了激烈的讨论之后,我们得出结论,CNNIC’在没有书面PKI惯例且不监督私钥如何存储或控制的公司中发行不受约束的中间证书的行为是“egregious practice’ as per Mozilla’的CA证书执行政策,”Mozilla的程序经理Kathleen Wilson, 解释 星期四。

“因此,在公开讨论并考虑了一系列选择的范围和影响之后,我们决定更新代码,以使Mozilla产品不再信任CNNIC颁发的任何证书。’的根的notBefore日期为2015年4月1日或之后。”

该公司还将要求CNNIC提供其当前有效证书的列表,然后将其公开。

“提供清单后,如果我们或任何其他人在公共互联网上检测到清单上未包含证书且未在2015年4月1日之前的证书,我们保留采取进一步措施的权利,” she noted.

Mozilla表示,正如Google之前所说的那样,更改不是永久性的,欢迎CNNIC加入“重新申请以完全包含在Mozilla根存储中” –进行更改以防止此类事件再次发生之后。

分享这个