根據Google官方安全博客報導 ，Google發現CNNIC頒發了多個針對Google域名的用於中間人攻擊的證書。 這個名為MCS集團的中級證書頒發機構發行了多個歌域名的假證書，而MCS集團的中級證書則來自中國的CNNIC 。

該證書冒充成受信任的Google的域名，被用於部署到網絡防火牆中，用於劫持所有處於該防火牆後的HTTPS網絡通訊，而繞過瀏覽器警告。

Google聯繫了CNNIC，CNNIC在3月22日回應稱，CNNIC向MCS發行了一個無約束的中級證書，MCS本應該只向它擁有的域名發行證書，但MCS將其安裝在一個防火牆設備上充當中間人代理，偽裝成目標域名，用於執行加密連接攔截（SSL MITM）。 企業如出於法律或安全理由需要監控員工的加密連接，必須限制在企業內聯網中，然而防火牆設備卻在用戶訪問外部服務時發行了不受其控制的域名的證書，這種做法嚴重違反了證書信任系統的規則。 這種解釋符合事實，然而，CNNIC還是簽發了不適合MCS持有的證書。



CNNIC作為根CA被幾乎所有操作系統和瀏覽器信任，Google已經將這些情況通知了所有的主流瀏覽器，Google所有版本的Chrome瀏覽器（包括Windows、OS X、Linux版）、Firefox瀏覽器都會攔截這些證書，Firefox從37版開始引入OneCRL機制，建立證書黑名單，攔截被濫用及不安全的證書。

Google英文博客原文： Maintaining digital certificate security(http://goo.gl/6nCSJM)
Mozilla英文博客原文： Revoking Trust in one CNNIC Intermediate Certificate(http://goo.gl/2Jqc2n)

參考資料：中國互聯網絡信息中心（China Internet Network Information Center，縮寫為CNNIC），是經[#FF0000]中華人民共和國國務院主管部門批准[/#FF0000]，於1997年6月3日成立的互聯網管理和服務機構。 中國互聯網絡信息中心成立伊始，由[#FF0000]中國科學院[/#FF0000]主管；2014年末，改由[#FF0000]中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室[/#FF0000]主管。

http://www.williamlong.info/archives/4183.html

之前我都有開post講過(http://hkgalden.com/view/233172)，但冇乜人理我，結果我既擔心始終變左現實