Google 宣布旗下产品不再信任 CNNIC 根证书 + CNNIC 的回应

@xierch
google给CNNIC已签发的证书列入白名单，给了个缓冲的时间。

/Users/suclogger/Desktop/屏幕快照 2015-04-02 下午5.25.26.png

CNNIC对谷歌公司做出的决定表示难以理解和接受，并对谷歌的做法表示赞同与肯定

仔细看原文的话，就能发现只要 CNNIC 加入 Certificate Transparency，谷歌就会重新信任 CNNIC。CNNIC 也承诺会加入 Certificate Transparency。所以也没什么大不了的了……

好像奇客的那篇文章没了……（http://www.solidot.org/story?sid=43556）

@Daddy 请看https://sealinfo.verisign.com/splash?form_file=fdf/splash.fdf&dn=WWW.22.cn&lang=zh_cn 买了vs不用

@lisonfan 国内域名注册商，易名的有力竞争者。

@louishothot 无语了，估计被CNNIC绑定了。

@Daddy 不通过我的ssl认证不给你代理权

@iwhich 国内！比如网易邮箱HTTPS都不是，还存在强制CNNIC的必要？

@sneezry CNNIC被撤的消息墙内是禁止传播的，如果360，，，就等于大范围传播了。

@louishothot /t/181219

@iwhich 很好奇为什么很多人都把 MCS 颁发了 Google 的证书看成是 CNNIC 做的。CNNIC 有管理责任但根本不是执行主体。那篇 kenengba.com 的文章这一点「权威机构 CNNIC 为什么要伪造证书？」这个问题本身都不成立。另外那篇文章也完全没说大范围 DNS 劫持如何实现：「可能 CNNIC 内部有1-2名员工，试图入侵他们的粉丝–苍井空老师的 Gmail 帐号，但苦于 Gmail 实在太难破解，只好出此下策」即使是 gov 层面，在一般情况下也只能影响到国内吧。

@breeswish 你的blog chrome解析不正常，你去看看吧

@breeswish 不是很了解，仅仅只是看到过这篇文章，我能否将你的疑问复制到可能吧哪里询问下？

确实cnnic参与过中间人攻击

网络恐怖分子

和北邮方癌们 哼哈啊

吼吼

@iwhich

有可能

这些东西没底线的

所有偶移民了要

@breeswish 因为不是互联网从业者，所以对具体详情并不了解，说说个人理解，请勿见笑。

首先，MCS集团的中级证书来自中国的CNNIC，如你所说，起码CNNIC负有管理责任， CNNIC 签发了 MCS 证书仍然是问题出现的根本原因。PS.无根据的猜测下，MCS集团为什么要伪造证书呢？真的跟CNNIC没关系？

其次，对CNNIC的不信任由来已久了，Google在大陆遭受的待遇有目共睹的，而“CNNIC的行政主管部门有两个，一是中共中央网络安全和信息化领导小组办公室，还有一个是国家互联网信息办公室，两个办公室的“办公室主任”都是鲁炜，但他的主力顶戴却是中宣部副部长。@Justso_CN”，联系到曾经的Gmail钓鱼事件，很难让人不产生不好的联想。

第三，没说大范围 DNS 劫持如何实现，有可能是作者也不知道如何实现，也可能是比较复杂，没法三言两语解释清楚，anyway，他没有说不代表不能实现，在Github被攻击前，又有谁知道会通过JS手段来实现呢？

第四，他是不是仅仅影响国内不太了解，退一步讲，即是真的仅仅局限于国内，也够用了，很多目标用户也都是在国内的，不能因为打击面不够广就以为他不会打击

不信任cnnic的证书后，怎么在Chrome里访问网站提示不安全无法访问时添加例外？毕竟有个别网站用的是国内的