4月1日,Google在其官方博客中发布了如下声明:
通过对此次事件涉事的Google和CNNIC的调查,我们决定在Chorme中,不再信任来自CNNIC的根证书和来自EV 的CAs。这点将在Chrome浏览器的下次更新中得到落实。为了帮助因这项决议而受影响的客户,在限定时间内,我们将通过把CNNIC拉入公开的白名 单,来暂时允许CNNIC现存的数字证书仍保留在Chrome的信任名单内。
无论是Google还是CNNIC都相信,CNNIC以后 不会再发行未授权的数字证书,而MCS Holdings在其允许范围外,也不会再发布未授权的证书,CNNIC将配合Google来防止像这样的事件再次发生。CNNIC它申请再授权之前,将 推动它的证书许可,向证书透明政策方向发展。我们赞赏CNNIC所采用的积极措施,只要他们提交了合适的技术和程序控制请求,我们都将继续欢迎他们再次申 请授权许可。
换句话说,Chrome的用户将在往后的几天里,收到来自CNNIC授权的新网站的安全警告,特别是那些想要输入登陆信息的用户。而对一些相关网页来说,那些存在货币交易的网站,将停止运营(任何与此授权证书相关的银行或是商业网站都将因为没有安全许可而停止转账)。
Google并未透露这项措施将于何时实施(Google只是按照惯例,将在下版本Chrome中对其进行更新)。它很可能是像给那些受影响的网站足够的时间,来更换授权机构。
CNNIC在4月2号也发布了如下声明:
1.Google对CNNIC所采取的决定是不理智和无法接受的,与此同时CNNIC强烈希望Google能仔细考虑用户的权益。
2.对于那些CNNIC已经授权了证书的用户,我们将保证您的合法权益不受侵犯。
对于CNNIC在声明中提出的第二点,CNNIC在下一步中究竟会怎么做,我们目前还不清楚。CNNIC方面,目前或许还在权衡利弊。
火狐浏览器在今天,也紧随Google的脚步发布了如下声明:
我们回顾了我们所面临的问题,通过公邮的形式,认真讨论了这次事件,得出了结论:CNNIC无限制地将数字证书授权给一家没有PKI文件的公司,并且没 有意识到它所存在的盗版行为,这一点对于我们发布的火狐CA证书实施条例来说,是万万没想到的。所以,经过我们的公开讨论之后,我们决定更新火狐浏览器, 将从4月1号起,不再信任来自CNNIC的根证书
对于这即将实施的日期,火狐浏览器将监察其内置在CNNIC证书中授权时间。我们也将 要求CNNIC为我们提供一份全面的他们目前的有效证书名单,并且向所有人公开。如果CNNIC提交了名单,对于没有在名单上的出现授权证书,我们将从4 月1号起开始通过我们自己的渠道去一个个排查,我们将保留采取进一步行动的权利。
和Google一样,火狐方面也提供CNNIC来重新申请它们的授权许可。如果CNNIC满足了Google和火狐提出的要求,这些限制将会被取消。 如果Chrome和火狐停止支持CNNIC颁发的授权证书,对中国的网站来说,其影响将大道无法想象。成千上万的用户将无法上网,但是,Google和火狐或许将提供合适的缓冲期,让用户来更换授权机构,以保证他们网站的正常运行。