影响有限，不必惊慌-小评谷歌删除cnnic证书事件

摘要: 此次事件再次提醒网站主们要谨慎选择SSL证书，一定要安装由正规合法CA经严格审核签发的证书 （国内网站可优先考虑国内大型CA）。否则将有可能造成网站访客的流失，而更换SSL证书也是一件费时费力、增加成本的事情。

据国外媒体报道，谷歌在4月1日更新了安全博客，宣布旗下产品将删除中国互联网信息中心（CNNIC）根证书，接着火狐也加入谷歌阵营，宣布将不再信任CNNIC证书。此消息一出，国内媒体议论纷纷。但也许是受限于专业知识的缺失，部分国内媒体对该事件的报道出现了误读，这种误读主要可以归纳为两点：
1.当使用chrome上网时，如果浏览的网页没有CNNIC根证书授权，将极有可能受到漏洞危险。
2.如果Chrome和火狐停止支持CNNIC颁发的授权证书，成千上万的国内网民将无法上网。

这些误读可能会让普通网民产生一丝忧虑，所以我们认为很有必要从更专业些的角度来澄清一下此次事件的影响。下面就从三个角度来讲一讲：
1.被谷歌删除的cnnic证书是怎样的一张证书？
这张证书叫SSL证书(服务器证书)，它被安装在网站的服务器上，并发挥两个作用：其一是加密浏览器与网站之间的信息传输，防止其被窃取。其二，直观点说就是给网站发了一个如身份证那样具有唯一性的证明，防止站点被仿冒。
2.谁来签发SSL证书？
SSL证书是由第三方CA（证书授权机构）签发的，如赛门铁克、CFCA，也包括此事件中的cnnic。cnnic或其他CA的SSL证书在获得微软、谷歌等公司的信任后，才能将根证书植入IE、chrome等浏览器中。
3.CNNIC证书被删除后，网民上网会受哪些影响？
Cnnic将SSL根证书植入chrome后，当网民用chrome浏览器访问安装了cnnic服务器证书的网站时，不会弹出安全警告，因为chrome信任cnnic证书。但现在的情况时，谷歌删除了cnnic根证书，也就是不再信任它。当网民再按以上场景操作时，chrome就会警告浏览者此网站的证书可能有问题，建议不要继续访问。

综上所述，我们再回到前面提及的两种误读，就不难发现：
1.如果网站没有安装合法、正规CA签发的SSL证书，将存在安全漏洞，这与其是否有CNNIC根证书授权无关。
2.SSL证书，不管是哪家CA签发的，都与能否上网无关。这是ISP（互联网服务提供商），如电信、联通负责的事情。

那么此次事件会造成很大影响吗？就像本文标题写的——影响有限，不必惊慌。这么说主要基于两点：
1.安装cnnic证书的网站极少。
虽然SSL证书很重要，但目前在国内的普及率还不高，主要还是银行保险、P2P网贷、电子商务等涉及资金安全的平台会安装。这些平台出于安全考虑，一般都会选择国外的赛门铁克及国内CFCA的证书，很少有安装cnnic证书的。
2.安装cnnic证书的网站会尽快更换证书。
设想一下，访客刚点开你的网站，浏览器就警告这家网站的SSL证书不受信任，这会让你丢失多少宝贵的流量？所以，那些安装cnnic证书的网站会尽快将证书更换为可信CA的产品，该事件造成的影响和不便也将继续降低。
最后要说的是，此次事件再次提醒网站主们要谨慎选择SSL证书，一定要安装由正规合法CA经严格审核签发的证书 （国内网站可优先考虑国内大型CA）。否则将有可能造成网站访客的流失，而更换SSL证书也是一件费时费力、增加成本的事情。