最近网上关于CNNIC伪造知名证书的事情已经闹的沸沸扬扬,现在已经有Google、Mozilla宣布在各自产品中对全部或部分CNNIC证书不在信任。对此CNNIC对于伪造未授权的证书声明如下:
3月24日,有关媒体发布“谷歌称CNNIC发布用于中间人攻击证书”的报道,CNNIC声明如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。中国互联网络信息中心(CNNIC)
2015年3月25日
接下来是关于Google在全线产品中不信任其证书的声明:
一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
二、CNNIC将切实保障已有用户的使用不受影响。中国互联网络信息中心(CNNIC)
2015年4月2日
对于这种事实上已经造成了非授权证书被使用的信用破产机构居然还能如此厚颜无耻的连续发这么多条声明,我只能说你不要脸,XX还要脸。
Goolge和Mozilla虽然已经不再信任CNNIC办法的证书,但CNNIC ROOT证书依然还存在于系统的根证书列表里,在CNNIC未对这次事件作出解释和道歉之前,让其证书出现在受信任的根证书列表里是个极大的信息安全隐患。下面是网上收集的关于如何从电脑中剔除CNNIC证书的操作方法: