Apr 3rd, '15, 09:21
谷歌停止承认支那网站认证中心
谷歌加州总部。(Getty Images)
2015-04-02
谷歌已经宣布它的浏览器Chrome和其他产品将不再承认由中国互联网络信息中心(CNNIC)发布的安全证书。CNNIC是一个监督中国域名注册和管理的政府机构。互联网自由倡导者认为,中共利用认证中心的权力启动危险的攻击。
美国信息技术网站《TechCrunch》4月1日报导说,这件事情意义重大,因为CNNIC是中国的顶级域名.cn和中文域名注册管理的最高管理机构。除非这些网站位于CNNIC向谷歌提供的白名单上,Chrome用户将看到跳出的安全警告。
这个禁令发布两周前,CNNIC签约外包的中间证书颁发机构MCS控股公司被发现发行了数个谷歌域名的假证书,此外有人利用自签名的CNNIC证书对Github进行中间人攻击,被指其攻击来源与长城防火墙有关。
谷歌3月23日对此发布声明说,CNNIC将它们的实际控制权授予一个不合适的机构。
在最新更新的公告中,谷歌宣布它的产品不再承认CNNIC的安全证书。这个改变将在未来Chrome升级当中看到,但是谷歌将给予现有认证域名一段缓冲期。
受影响的域名包括中共政府运营的网站。
谷歌还说欢迎CNNIC在更换合适的技术和程序控制之后再申请谷歌的认可。
对于谷歌公司的好言相劝,中共方面发布一份声明进行谴责,宣称“谷歌作出的决定对CNNIC而言是不可接受、不可理解的”。
CNNIC还说:“对于CNNIC已经发布证书的用户们,我们保证你们的合法权利和利益将不会受到影响。”《金融时报》报导说,CNNIC杀气腾腾的语气暗示更高级别的政治手段已经卷入。
谷歌禁止CNNIC认证网站的决定相当不寻常。专家指出这是自从Mozilla在2011年发生安全入侵之后删除荷兰DigiNotar根证书之后,某个认证机构首次遭到类似惩罚。
然而谷歌的反应是有道理的,因为CNNIC在公钥基础设施当中扮演一个关键角色,这个公钥基础设施保护全世界的网站用户的安全。通过把这个重要工作承包给第三方安全中心,CNNIC放弃了一定程度的控制,导致出现未经授权证书。
一名专家说,哪怕一个流氓就可以发布虚假证书从而产生破坏性影响。虚假证书可以造成中间人攻击。如果攻击者手上拥有虚假证书,他就可以伪装成任何人——就像护照显示你的名字但是照片却是另外一个人的脸。
中共恶意使用认证中心权力启动危险攻击
《金融时报》报导说,这场争端对于CNNIC而言发生在一个特别敏感的时刻。上周位于旧金山的编码共享网站Github受到网络攻击。这个网站是软件开发者的论坛,中国互联网用户也利用其中一些工具来绕过中共长城防火墙,而攻击来源恰恰可能与长城防火墙有关。
一些中国互联网自由倡导者早就敦促大型软件提供商废除CNNIC发布的证书。
“我们一年多来一直呼吁这个行动,”巨火网站创始人查理•史密斯说,“中共当局恶意使用他们作为认证中心的权力来启动危险的攻击,在许多外国媒体平台入侵敏感用户信息。”巨火网站监控中国互联网审查。
然而Getlantern.org的安全专家Adam Fisk认为,谷歌的决定跟Github遭到的攻击没有直接关系。
他说,Github受到的攻击可能让谷歌安全团队更倾向于作出这个行动,但是虚假证书问题本身已经足以令谷歌作出这个决定。
自从谷歌搜索引擎2010年撤出中国大陆之后,中共跟谷歌的关系就躁动不安。去年大多数谷歌服务在中共被屏蔽。
-----------------------------
谷歌搜寻虽独霸一方 背后仍面临危机
一谈到线上资料搜寻,相信许多人的首选都是谷歌(Google)的搜寻引擎。但有报导指,谷歌非法直接显示其他网站的资料在其搜寻结果上。(NICHOLAS KAMM/AFP/GettyImages)
2015-03-28
一谈到线上资讯搜寻,相信许多人的首选都是谷歌(Google)的搜寻引擎。它在Alexa排名网站中也一直傲视群伦,成为全球人气最旺、造访次数最高的搜索网站。根据《福布斯》的报导,2014年12月谷歌在搜寻市场的占有率为75.2%,这还不包括移动装置的数据。但谷歌目前在技术及商业上正面临着严峻的挑战,以及有垄断嫌疑方面的争议。
《商业内幕》日前援引《华尔街日报》(Wall Street Journal)的信息,透露一则美国公平交易委员会(FTC)内部的报导表示,谷歌非法直接显示其他网站,如:旅游顾问(TripAdvisor)、亚马逊(Amazon)的资料在其搜寻结果上。
当这些公司发现资料被直接盗用而抱怨时,谷歌回应以将这些网站的相关连结从谷歌搜寻结果中完全移除。公平交易委员原打算直接对谷歌做反垄断控诉,随之谷歌也赶紧做调整并采取应变措施。最后这些公司选择自愿性让谷歌在搜寻结果直接列出自家网站的内容,而公平交易委员会也在2013年表决终止对谷歌反垄断调查。
“谷歌搜寻”面临威胁
谷歌有许多投资事业,诸如:自动驾驶车、互联网气球、安卓系统以及Youtube 都是耳熟能详的。即便如此,这些事业还是无法和“谷歌搜寻”的重要性相比。
2014年,谷歌660亿美元的总营收中,网站广告营收就占了450亿美元,这当中YouTube的广告营收仅占40亿美元。这也使“搜寻”及“搜寻广告”部门成了谷歌的当红炸子鸡。
实际上,谷歌在技术及商业上正面临着严峻的挑战。为了保持在搜寻领域的龙头地位,谷歌必须不断在搜寻功能上领先,否则很容易流失用户。目前市场上的其他搜寻网站,如:微软搜寻、亚马逊(产品搜寻)与Yelp (餐厅搜寻)等都是谷歌搜寻的对手。
此外,智能手机崛起,有越来越多用户渐渐习惯使用手机内建的搜寻软件,这也形成谷歌搜寻的另一个威胁。
垄断行为:“谷歌搜寻”vs.“微软Windows”
许多谷歌搜寻的竞争者,尤其是Yelp,针对谷歌提高用户评价相关文章被搜寻的优先性的手段表示抗议。虽然美国目前对谷歌搜寻的垄断行为,已经停止相关正式或非正式的诉讼,但欧洲的正式诉讼似乎才要开始。
谷歌事件有点像当年美国司法部调查微软(Microsoft)将自家网页浏览器、IE浏览器与Windows搭配贩售一事。当年微软执行长史蒂夫.巴尔默(Steve Ballmer)在受审中称,Windows并非公用事业,是微软的一项产品,就像卖三明治一样,因应市场需求,微软应该有权决定三明治是否要加一片火腿搭配贩售。
微软一直采用三明治说法为其Windows垄断自圆其说,直到2000年时反托拉斯案正式进入诉讼,法官汤姆斯.杰克森(Thomas Jackson)发现,微软一直以其独占力量排除竞争者,因此确认Windows是独占产品。
微软当然不服此判决,继续上诉,争取到相对于第一位法官杰克森所裁定的较少的限制。但重要的是,整个诉讼“追求事实真相”的过程,微软一案为众多美国境内反托拉斯案件,如:升阳(Sun)、RealNetwork 及IBM铺路。微软为此诉讼也陆陆续续付出数十亿美元罚款代价。
谷歌当然不希望步上微软的后尘。一旦政府正式在法律上裁定谷歌搜寻是反竞争式的垄断并要求加以规范的话,那等于是开启了闸门让谷歌走向微软之路。
安卓系统与Chrome浏览器
谷歌的开放式智能手机操作系统——安卓 (Android)还身兼重任,藉着安卓系统的广用与盛行,让其他竞争者无法主导手机网页浏览这个领域,至少还可以保住谷歌自家搜寻引擎的地位及对应的广告收入。
谷歌Chrome并非表面上只是单纯提供更快速、更好的网页浏览。实际上,Chrome提供多种不同方式搜寻谷歌,同时在许多细节上引导使用者持续登入谷歌各种服务(使用者若想将那些客制化的书签标注在Chrome 搜寻引擎最上端列,必须先登入谷歌帐号),一旦进入登入状态,可方便谷歌针对使用者搜寻结果连结到相关广告页。