Google har mistet tilliten til kinesiske CNNIC


Sertifikat-myndighet kastes ut.

Sertifikat-myndighet kastes ut.

For et par uker siden ble det kjent at et egyptisk selskap, MCS Holding, hadde lagd egne sertifikater til flere av Googles domener ved å signere dem med et mellomliggende sertifikat utstedt av kinesiske CNNIC (China Internet Network Information Center). Det er ingenting som tyder på at de falske sertifikatene har ført til noen skade, men flere av nettleserleverandørene var raskt ute med å plassere sertifikatet MCS Holding brukte til å signere, i en svarteliste.

Tidligere denne måned opplyste Google i en kunngjøring, at selskapet etter ytterligere etterforskning har avgjort at CNNICs rot- og EV-sertifikater ikke lenger vil bli anerkjent av Googles produkter. Dette vil blant annet gjelde fra og med en framtidig utgave av Chrome. I en begrenset periode vil CNNICs eksisterende sertifikater likevel kunne merkes som tiltrodde i Chrome gjennom en offentliggjort hviteliste. I praksis betyr det likevel at nettsteder og andre tjenester som bruker sertifikater som er signert med sertifikatene til CNNIC, heller ikke vil anerkjennes av Chrome. Det kan ramme mange nettsteder, spesielt i Kina. Google opplyser at CCNIC vil kunne søke om å komme inn i varmen igjen så snart selskapet har fått bedre kontroll over teknologi og prosedyrer.

CCNIC, som er direkte underlagt departementet for informasjonsteknologi i den kinesiske regjeringen, reagerer kraftig og mener at avgjørelsen til Google er uakseptabel og uforståelig for CCNIC. Etaten ber Google om å ta brukernes rettigheter og interesser med i vurderingen. Samtidig garanterer etaten at rettighetene og interessene til brukere som har allerede har fått utstedt sertifikater fra CNNIC, vil bli ivaretatt.

Også Mozilla har reagert på CNNIC. Samme dag som CCNIC protesterte, kunngjorde Mozilla at stiftelsens produkter ikke lenger vil stole på noen sertifikater utstedt med CCNICs rotsertifikat i hierarkiet og med notBefore-dato satt til 1. april eller senere.

 

Kilde og artikkel i sin helhet, les mer på Digi.no

Les mer hos Google

Les mer hos CNNIC

Les mer hos Mozilla

 

 

 

 

 

 

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.