2015-04-07

【輔仁媒體】Charles Low:【又係明報】.cn 網域根本就無遭排擠 (1279)

(photo via cc Flickr user Tom Thai)

(photo via cc Flickr user Tom Thai)

話說於二零一五年四月五日,明報刊登咗一篇文章,題為《.cn域名遭排擠 影響10億網民》。標題固然嚇人,唔講以為西方勢力又再圍堵中國,企圖扼殺中國網絡生態。事實上,呢單潮聞已經係成個星期既事,而且仲係CNNIC自己攞黎。係講故事之前,我儘量簡單講解下網站既加密通訊既原理。

1. 我地瀏覽加密既網站時,會用提供證書去確認內容係由該網站發出,同時無經竊聽及修改。證書會指明個網站既名係乜野;

2. 係大部份情況,網站既證書會由一家認證既機構簽發,我地叫佢地做Certificate Authority (CA);

3. 而認證既機構都會有自己既證書,啲證書用黎認證啲證書用既,瀏覽器本身就預載咗一堆大家認為信得過,靠得住既CA既證書;

4. 網站既證書如果由瀏覽器信任既CA所簽發,同時證書列明既網站名稱及細節如有效日期吻合,則視為正確無誤;

5. 認證既機構可以層壓式簽發認證既證書去畀佢既下線去認證其他證書,中層既CA我地叫Intermediate CA;

6. 任何最頂層的CA皆何替任何網站簽發證書,同一家網站可以有多過一間CA替其簽發證書;

7. 如果任何人取得一張網站的證書及其鎖匙,可以竊聽及修改網站既通訊內容;

8. 故此如果有一間CA胡亂簽發證書,有心人可以利用呢啲證書去做監聽,設立假網站,而。完。全。不。被。察。覺。

而維持呢套信任制度既部份先決條件係:

1. 簽發證書既機構必須有嚴格程序去確認申請證書既人既身份真確無誤;

2. 簽發證書既機構必須只簽發申請者擁有既網站域名既證書。

咁CNNIC做錯咩呢?

CNNIC係未確保對方有足夠保安及符合規範既情況下簽發咗一張無限制既中層CA證書畀一間叫MCS既埃及公司,而MCS就將呢個中層CA既證書同埋條鎖匙,放咗係一啲網絡既防火牆裝置度。透過呢個防火牆,MCS可以即時簽發假證書黎監聽自己員工啲加密通訊。由於Google既Chrome瀏覽器有特別既保護技巧去分辨真假證書(Certificate Pinning),Google好快就發現咗事件,即時係Chrome額外加入設定停止信任MCS既中層CA證書,同時通報CNNIC。係通報事件之後兩日,CNNIC斯斯然回應話佢地同MCS簽咗約,MCS只會簽發啲佢地自己註冊咗既網站;MCS就話自己只係用黎做測試,而CNNIC都無提供過任何既指引俾佢地。由於CNNIC係違反咗CA既一啲重大安全守則,Google係同CNNIC一齊調查完後決定不再信任CNNIC及其下線所簽發既證書。Firefox既開發團隊Mozilla都確認四月一日起,Firefox 37版本及以上已經停止信任CNNIC。而其他瀏覽器用戶,就要面對CNNIC不當簽發證書所構成既風險了。

惡名昭著既CNNIC

其實CNNIC成為瀏覽器信任既CA都只係呢幾年既事。係二零零九年,Firefox既開發團隊係收到一名叫Liu Yan既人(佢自稱係CNNIC既員工)要求將CNNIC加入到信任既機構清單時,就有過不信任既討論。當中已經提到CNNIC會透過瀏覽器既漏洞係用戶電腦上安裝無法移除既工具列插件,同時與大陸既網絡長城(GFW)同埋中共有極緊密既關係,如果中共政府要求CNNIC簽發一啲證書去配合監聽網絡,基本上成個中國既網民都會係不知情既情況下中招。當時就有網友發起自行移除CNNIC證書既運動,更加開發咗軟件去自動移除其證書。不過當年大勢所趨,所以最後所有瀏覽器都加咗CNNIC既證書入去。

咁係唔係.cn域名遭排擠?

完全無啲咁既事。CNNIC雖然同時係.cn域名既註冊機構 (Registrar),負責管理.cn域名既申請,但係其Registrar身份與今次事件無關。只係CNNIC既認證不再受Google及Firefox信任,.cn網站既瀏覽係不受任何影響,而如上文所述,任何CA都可以替任何網站簽發證書,就算你要管理.cn既網站都可以搵其他機構去簽證書的。例如邪惡美帝花旗銀行既大陸網站就係用VeriSign簽發既證書,而網友Raymond提醒,連中國銀行自己都唔用CNNIC用VeriSign!

所以由頭到尾「.cn域名遭排擠」根本就無發生過。而件事本身就唔係單單影響Chrome同Firefox既用戶,而係全球三十億網民既網絡安全。

咁「公信第一」出身既明報點解會有啲咁既報導呢?文中提到《華爾街日報》作為消息來源,我地見到《谷歌不再承認中國CNNIC頒發的信任證書》及英文版《China Protests Google Security Certificate Decision》皆由一名現駐北京,名為Eva Dou的記者所撰寫。而內文提及到.cn的,只有「這一變動將會影響到那些加密的中國網站,其網址以“https”開頭、以“.cn”結尾。這種類型的網站包括電子郵箱、網購服務以及其他需要用戶輸入個人信息、密碼的站點。」一句。此句技術上並不準確,因為只有使用CNNIC簽發的證書的網站才受影響,而CNNIC並不受限於簽發.cn的網站證書。

但係明報既報導則進一步扭曲事實,無故將事件報導為「.cn域名遭排擠」。而更令人擔憂的是,一般讀者閱畢明報報導會誤以為只有Firefox及Chrome的用戶受影響,而忽視其他瀏覽器繼續信任CNNIC的風險。

咁應該點做?

1. 如果可以既,移除CNNIC既證書。可以參考呢個呢個

2. 用最新既Chrome同Firefox。佢地有一個Certificate Pinning既保安功能,可以有效降低上述攻擊既風險。



原文連結