仅受微软信任的巴西证书颁发机构ICP-Brasil为谷歌域名签发证书 目的未知
山外的鸭子哥
ICP-Brasil 是巴西的数字证书颁发机构 (CA),该组织主要为巴西境内公民虚拟身份验证签发数字证书,由于此前的各种违规操作导致 ICP-Brasil 名声较差目前仅受微软信任。
仅受微软信任意味着 ICP-Brasil 的数字证书在 Windows 10/11 以及微软其他产品中是可以被接受的,诸如 Mozilla Firefox 等则选择不信任该证书。
目前也再次出现业界担忧的事情:ICP-Brasil 似乎悄悄为谷歌搜索主域名 Google.com 签发了数字证书,显然谷歌是不可能主动找这家 CA 签发数字证书的。
谷歌有自己的中级 CA 用于为自家所有产品和服务签发域名,同时谷歌还在 DNS 记录中明确通过 CAA RR 指定只允许 pki.goog 为其颁发数字证书。
既然如此 ICP-Brasil 怎么能为谷歌签发证书呢?如果正常扫描 DNS 记录那就应该拒绝签发,哪怕是谷歌主动要求 ICP-Brasil 签发数字证书。
所以这种操作实际上就是违规的,即 ICP-Brasil 在未经谷歌申请和未遵循 CAA RR 规则的情况下私自为谷歌域名签发证书,这已经违法 CA / 浏览器论坛制定的规则。
目前的猜测是 ICP-Brasil 为谷歌签发数字证书很有可能是为了劫持相关目的的,这个证书在 Windows 10/11 等系统 (也包括 Windows Server 等) 是受信任的。
而 Microsoft Edge 和 Google Chrome 浏览器都是读取 Windows 证书库,只要微软信任那么 Microsoft Edge 和 Chrome 都不会报警,而 Firefox 则是会弹出警报并拒绝连接。
ICP-Brasil 和谷歌暂时都未就此事发布任何说明,不知道谷歌有没有办法能够阻止这种违规签发数字证书的做法,毕竟对谷歌来说主域名被劫持将对巴西乃至全球用户产生安全风险。
