根據(jù)谷歌官方安全博客，谷歌發(fā)現(xiàn)CNNIC頒發(fā)了多個(gè)針對(duì)谷歌域名的用于中間人攻擊的證書。這個(gè)名為MCS集團(tuán)的中級(jí)證書頒發(fā)機(jī)構(gòu)發(fā)行了多個(gè)谷歌域名的假證書，而MCS集團(tuán)的中級(jí)證書則來(lái)自中國(guó)的。

該證書冒充成受信任的谷歌的域名，被用于部署到網(wǎng)絡(luò)防火墻中，用于劫持所有處于該防火墻后的HTTPS網(wǎng)絡(luò)通信，而繞過(guò)瀏覽器警告。

谷歌聯(lián)系了CNNIC，CNNIC在3月22日回應(yīng)稱，CNNIC向MCS發(fā)行了一個(gè)無(wú)約束的中級(jí)證書，MCS本應(yīng)該只向它擁有的域名發(fā)行證書，但MCS將其安裝在一個(gè)防火墻設(shè)備上充當(dāng)中間人代理，偽裝成目標(biāo)域名，用于執(zhí)行加密連接攔截（SSL MITM）。企業(yè)如出于法律或安全理由需要監(jiān)控員工的加密連接，必須限制在企業(yè)內(nèi)網(wǎng)中，然而防火墻設(shè)備卻在用戶訪問(wèn)外部服務(wù)時(shí)發(fā)行了不受其控制的域名的證書，這種做法嚴(yán)重違反了證書信任系統(tǒng)的規(guī)則。這種解釋符合事實(shí)，然而，CNNIC還是簽發(fā)了不適合MCS持有的證書。

CNNIC作為根CA被幾乎所有操作系統(tǒng)和瀏覽器信任，谷歌已經(jīng)將這些情況通知了所有的主流瀏覽器，谷歌所有版本的Chrome瀏覽器（包括Windows、OS X、Linux版）、Firefox瀏覽器都會(huì)攔截這些證書，F(xiàn)irefox從37版開始引入OneCRL機(jī)制，建立證書黑名單，攔截被濫用及不安全的證書。

這件事情再次顯示，互聯(lián)網(wǎng)證書頒發(fā)機(jī)制公開透明的必要性。

參考資料：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，縮寫為CNNIC），是經(jīng)中華人民共和國(guó)國(guó)務(wù)院主管部門批準(zhǔn)，于1997年6月3日成立的互聯(lián)網(wǎng)管理和服務(wù)機(jī)構(gòu)。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心成立伊始，由中國(guó)科學(xué)院主管；2014年末，改由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國(guó)家互聯(lián)網(wǎng)信息辦公室主管。