谷歌等为何删除CNNIC根证书?
根证书是互联网信任体系的基石,由权威机构颁发并用于验证网站身份。2015年,谷歌、Mozilla等国际浏览器厂商先后宣布删除中国互联网络信息中心CNNIC的根证书,这一决定在全球互联网行业引发震动。事件背后,是
安全信任危机与管理机制缺陷的集中爆发。
直接导火索:证书滥用事件
2015年3月,CNNIC授权的合作伙伴北京沃通公司被曝出违规签发未经验证的SSL证书,涉及谷歌、微软等知名企业域名。攻击者若利用此类证书,可伪造合法网站,窃取用户数据或实施人攻击。尽管CNNIC事后撤销了相关证书并暂停沃通授权,但这一事件暴露了其证书管理流程的重大漏洞。国际安全社区认为,CNNIC未能履行根证书机构的核心职责——确保证书签发的绝对安全,直接动摇了对其的信任基础。
深层原因:国际信任标准的冲突
除具体事件外,删除决定也反映了国际对根证书管理机制的严苛。根据全球通用的根证书政策,证书颁发机构CA必须满足严格的技术规范和审计标准,包括透明的操作流程、独立的安全审计和快速的漏洞响应机制。然而,CNNIC在透明度与独立性方面长期存在争议。例如,其作为政府背景的机构,被质疑可能受到非技术因素干扰,而国际安全社区普遍CA保持纯技术中立性。这种信任赤字在证书滥用事件后被进一步放大,最终促使浏览器厂商采取“删除”这一极端措施。
行业影响:信任体系的重构
根证书被删除直接导致使用CNNIC证书的网站在谷歌Chrome、火狐等浏览器中显示“不安全”警告,影响数亿用户访问。这一事件迫使国内互联网企业加速更换证书,转向DigiCert、Let’s Encrypt等国际信任的CA机构。同时,它也推动中国建立更严格的证书管理规范,例如2016年实施的《电子认证服务管理办法》,强化了对CA机构的监督与问责。
谷歌等厂商的决定本质上是维护全球互联网信任链条的必要动作。在网络安全国界的背景下,任何一个环节的漏洞都可能威胁整个体系的安全。这一事件也警示:根证书机构的权威并非天然存在,唯有通过严格的技术合规和透明管理,才能持续赢得全球行业的信任。
