谷歌和中国又杠上了 不承认中国证书

　　谷歌公司在加利福尼亚州的总部

　　谷歌和中国又杠上了。近日，谷歌(Google)表示将不再承认中国互联网络信息中心(China Internet Network Information Center, CNNIC)颁发的网站信任证书。作为中国最大的负责网络登记的机构，该中心于2日发布声明，称“难以理解和接受”谷歌这一决定。

　　中国互联网络信息中心负责管理和维护以“.cn”结尾的域名及所有中文域名，为其颁发安全证书。因此，谷歌此番决定意味着，Chrome浏览器用户在打开由该中心认证的网站后，屏幕上会出现警示提醒，警告用户该网站的安全性未经过谷歌验证，建议不要打开。当然，用户拥有选择忽略警告、继续前往该网站的选择权。

　　3月23日，谷歌在其网络安全博客(Online Security Blog)中发帖称，他们在20日注意到几个谷歌域名的电子证书未经验证。这些证书来自一家中级证书颁发机构，而该机构属于名为MCS Holdings的埃及公司。这篇博客帖子中表示，中国互联网络信息中心在22日回应承认MCS公司与其属于合同关系，并解释称该公司原本仅向已由中心注册的域名颁发证书。

　　谷歌已经采取措施，并告诉用户不需采取包括修改密码等任何措施进行保护。

　　但同时谷歌表示，这些假证书可能造成网络用户遭受所谓“中间人”的黑客袭击，“中间人”拦截用户的加密信息， 并冒充不知情的网络用户。因此，尽管中国互联网络信息中心的解释符合事实，谷歌认为互联网络中心给予一家不应授权的公司太多授权。在之后的博文更新中，谷歌宣布不再承认该中心颁发的证书。

　　其实这个举措对于中国来说并不是致命打击。此举措将被运用到未来Chrome浏览器的更新中，因此，现阶段谷歌会保留现有证书的有效性。另外，据科技新闻媒体The Verge分析，中国政府出于增强防火墙的目的，一直以来不鼓励中国网络公司使用HTTPS，所以该中心的证书市场额在所有网站证书中占不到0.1％。

　　不过，《华尔街日报》报道说，“这一变动将会影响到那些加密的中国网站”，包括网址以“https”开头、“.cn”结尾的电子邮箱、网购服务等需要用户个人信息和密码的网站。

　　谷歌表示，中国互联网络信息中心在改进验证流程后，仍可重新申请谷歌接受其证书。

　　有评论说，虽然谷歌“宽容地”表示存在再次接受的可能，但是并没有安抚中国互联网络信息中心那颗“受伤的心”。中心发表声明回应：“CNNIC对谷歌公司做出的决定表示难以理解和接受，并敦促谷歌公司充分考虑和保障用户权益。”同时，中心也保证“将切实保障已有用户的使用不受影响”。