中国的互联网信息中心(CNNIC)近日被微软公司选择为网络根证书的信任机构并植入到视窗系统和浏览器中。此消息引发中国网民的忧虑并发起了抵制CNNIC根证书的行动,号召网民为自己的安全负责。自由亚洲电台驻香港特约记者心语的采访报道
近日微软公司把中国官方支持的域名管理机构CNNIC列为可信的根证书发布者,并添加到今后的Windows 视窗操作系统和网络浏览器中。CNNIC英文全名为 China Internet Network Information Center,是工信部下的中国的互联网信息中心,也是域名管理机构。CNNIC日前处罚了三家域名注册服务及代理机构,并在官方网站接连发出多个加强域名注册信息审核工作的公告。而最新公告规定,从上个月14日上午9点开始,个人用户没有资格进行域名注册。
“根证书”(Root Certification)是互联网上保证信息传播和交易安全的重要信任机制,如果访问一个股票交易的网站,而那个网站无法提供可以信任的电子证书来加密你的交易信息,这些信息可能完全被第三方截获,或者被假冒的网站所偷窃。世界上的大型电子商务企业和银行都要向根证书发放机构申请这种电子证书,再应用到自己的网站上。
北京网络技术专家李先生星期五向本台表示,“当你和一个网站通信的时候,你的数据会经过你的电脑到服务器之间几十台中转的路由器,如果你用HTTP,所有电脑都有能力监控你的内容,包括密码。如果用HTTPS和证书,所有路由器就无法看到。”
大批中国网民对微软把CNNIC加入到默认的可信根证书提供商的做法表示了愤怒和不解。他们认为如果相信了中国官方所支持的证书发放机构,无法预知未来可能对网民的伤害和危险。有网民表示,CNNIC这个完全不可信任的有关部门,竟然诱惑微软将他们列为根证书发布者,这个消息太可怕了,中国互联网将更加恐怖。换句话说,如果防火长城GFW想做一个Gmail的http钓鱼网站,浏览器不会有任何警告。他们会误以为是真正的Gmail网站,但是可能会马上丢失个人的账户和密码信息,而被中国官方攻击和偷窃。网络应用技术专家柠檬这样分析网民的心态,“这就是中国一个相当于质检总局的东西,如同国家免检,大家不信任你所谓的国家免检产品。”
星期三以来,在互联网上很多中国的高级网络用户开始和大家分享删除CNNIC根证书的行动,他们说,“防火防盗防CNNIC ”,并传播如何在电脑和浏览器中删除CNNIC根证书。 网民们表示,“出于对CNNIC深深的不信任,决定将CNNIC ROOT从‘受信任’的列表里赶出去”。网络专家立里建议用户使用火狐浏览器并将CNNIC等不安全的证书屏蔽。
资深网络评论家洪波表示,“如果需要访问一个安全的网站,而它本身是不安全的,例如窃取用户的隐私信息,这是用户忧虑的一个原因。如果访问一个网站的时候,它的证书已经标明为安全证书的话,你就可能对它不设防了,可是用户并不关心这个证书是谁颁发的。”