繼較早前 Google 發現虛假 Google 憑證,並宣布旗下產品將不再承認來自 CNNIC 的憑證後,Mozilla 亦於日前表示經調查與討論後,其團隊亦決定停止 Mozilla 產品 Firefox 對自今年 4 月 1 日後由 CNNIC 頒發的的任何憑證作出信任。
Mozilla:停止信任 4 月 1 日後頒發自 CNNIC 的憑證
Mozilla 認為 MCS 並無開發憑證實務作業基準,亦未被允許執行金鑰產生程式及未受評估監管,令其缺乏合約外的其他任何形式管制,而 MCS 亦坦承 CNNIC 並未向其就如何安全儲存及管理此一不受限制的中繼憑證作出任何指導。故此 Mozilla 指據 CNNIC 現行的憑證政策與憑證實務作業標準,無論只供測試或實際使用,CNNIC 都根本從不應該頒發上述中繼憑證。
而原本與 Google 同樣會將自 CNNIC 憑證存放於根憑證儲存區的 Mozilla 決定跟隨 Google 的步伐,停止對 4 月 1 日後頒發自 CNNIC 的任何憑證作出信任;換言之,Mozilla 的根憑證儲存區將不再接收任何來自 CNNIC 的新憑證。
而 Mozilla 將要求 CNNIC 提供於 4 月 1 日前頒發的有效憑證名單,並就此建立白名單:Mozilla 亦歡迎 CNNIC 重新申請被完整地重新納入根憑證儲存區,相關部門更表示未來將一視同仁對待發生類似錯誤的憑證發行機構。
Source:Mozilla
