刘超转自自由亚洲
问: 谷歌决定在旗下产品中,不再信任由CNNIC发出的证书,这决定引起广泛注意。谷歌的决定,对用户会有什么影响?
李建军: 现时最多人用的谷歌软件产品,当推浏览器Chrome,以及手机、平板电脑及机顶盒用的作业系统Android。电脑使用Chrome浏览器的听众,只要一更新Chrome为新版,就不会再信任CNNIC的根证书。
理论上,手机、平板电脑和机顶盒的作业系统更新后,使用Android作业系统的各类器材都不会再信任CNNIC根证书。但大家要注意的是,在中国有不少厂商擅自更改Android作业系统的内容,有可能更新后,仍然被厂商做手脚强制信任CNNIC根证书﹔亦不排除部分海外手机大厂,为顾及中国市场不跟随谷歌的做法,仍然信任CNNIC根证书。因此,Android未必在谷歌这次果断决定中完全受惠。在众多Android作业系统的产品中,只有Nexus由于设计上完全由谷歌所掌控,可以肯定只要谷歌更新作业系统内容,就会跟随不信任CNNIC的证书,不会有任何保留。
问: 连微软都打算对CNNIC证书采取行动,但苹果可能为了进军中国市场,而继续信任CNNIC证书。那作为苹果用家,又可以怎样办?
李建军: 对于Mac OS X的用家,这问题相对容易解决,因为Mac OS X容许用户自行管理数码证书,包括信任那一些证书,一如微软Windows一样。而这次翻墙问答,会示范在Mac OS X下如何不信任CNNIC的证书,欢迎听众在本台网站上收看。
但iOS就麻烦好多,因为iOS并不容许用户自行决定信任那一些证书,那是苹果透过自行建立的信任凭证库去决定,这不单令不少用户感到非常麻烦,而且遇上中国政府滥用公权力去危害一般用户的电脑安全,苹果电脑若然不敢像谷歌这样勇敢的话,受害就是消费者。现时,只有靠苹果用户不断向苹果方面反映,希望令苹果会在信任凭证库上对CNNIC的根证书采取适当行动。
问: 若然全球IT界都对CNNIC的证书不信任时,中国政府会否在浏览器政策上会有所转变?
李建军: 当全球主要浏览器开发组织和公司,都对CNNIC的根证书不信任,中国当局不能够再滥用本身对证书的监控来达到攻击眼中钉的目标时,那有可能会改变中国政府的策略。中国当局有可能剽窃开放源码浏览器的核心程式后,再要求中国个别与政府关系友好的企业开发所谓「中国人的浏览器」,然后,迫中国民众使用。所谓的红旗Linux,便是典型例子。
由中国当局对谷歌不信任CNNIC消息的封锁态度来看,中国民众要有心理准备,日后就算下载Chrome、Firefox之类的浏览器,都可能要翻墙后才能成功下载安全版本。中国当局有可能阻止民众下载开放源码的浏览器,或在中国国内大规模发放有古怪代码的Chrome和Firefox有问题版本。
问: 现时,具官方色彩的中国网络证书发行机构,只剩下香港邮政仍然广受国际浏览器的信任,至少暂时未发现有香港邮政的证书被滥用作攻击之用。那日后香港邮政的证书,会否仍被国际接受?
李建军: 这视乎中国政府对一国两制的尊重程度,以及梁振英治下的香港政府,会否不顾香港的国际声誉。暂时为止,香港邮政的证书是安全可信。但如果香港政府不顾公众利益,利用香港邮政作出类似CNNIC的行为的话,这将会对香港和中国构成很大损害,对很多香港市民日常使用的政府服务影响尤甚。