根據(jù)谷歌官方安全博客，谷歌發(fā)現(xiàn)CNNIC頒發(fā)了多個針對谷歌域名的用于中間人攻擊的證書。這個名為MCS集團的中級證書頒發(fā)機構發(fā)行了多個谷歌域名的假證書，而MCS集團的中級證書則來自中國的。

該證書冒充成受信任的谷歌的域名，被用于部署到網(wǎng)絡防火墻中，用于劫持所有處于該防火墻后的HTTPS網(wǎng)絡通信，而繞過瀏覽器警告。

谷歌聯(lián)系了CNNIC，CNNIC在3月22日回應稱，CNNIC向MCS發(fā)行了一個無約束的中級證書，MCS本應該只向它擁有的域名發(fā)行證書，但MCS將其安裝在一個防火墻設備上充當中間人代理，偽裝成目標域名，用于執(zhí)行加密連接攔截（SSL MITM）。企業(yè)如出于法律或安全理由需要監(jiān)控員工的加密連接，必須限制在企業(yè)內網(wǎng)中，然而防火墻設備卻在用戶訪問外部服務時發(fā)行了不受其控制的域名的證書，這種做法嚴重違反了證書信任系統(tǒng)的規(guī)則。這種解釋符合事實，然而，CNNIC還是簽發(fā)了不適合MCS持有的證書。

CNNIC作為根CA被幾乎所有操作系統(tǒng)和瀏覽器信任，谷歌已經(jīng)將這些情況通知了所有的主流瀏覽器，谷歌所有版本的Chrome瀏覽器（包括Windows、OS X、Linux版）、Firefox瀏覽器都會攔截這些證書，F(xiàn)irefox從37版開始引入OneCRL機制，建立證書黑名單，攔截被濫用及不安全的證書。

這件事情再次顯示，互聯(lián)網(wǎng)證書頒發(fā)機制公開透明的必要性。

參考資料：中國互聯(lián)網(wǎng)絡信息中心（China Internet Network Information Center，縮寫為CNNIC），是經(jīng)中華人民共和國國務院主管部門批準，于1997年6月3日成立的互聯(lián)網(wǎng)管理和服務機構。中國互聯(lián)網(wǎng)絡信息中心成立伊始，由中國科學院主管；2014年末，改由中央網(wǎng)絡安全和信息化領導小組辦公室、國家互聯(lián)網(wǎng)信息辦公室主管。