巴西的数字证书颁发机构 (CA) ICP-Brasil 似乎悄悄为谷歌搜索主域名 google.com 签发了数字证书,这违反了 CA 行为守则。谷歌通过自己的中级 CA 为自家所有产品和服务签发域名,同时还在 DNS 记录中明确通过 CAA RR 指定只允许 pki.goog 为其签发数字证书。
虽然该行为的目的未知,但可以猜测很有可能是为了劫持相关目的。由于此前的各种违规操作导致 ICP-Brasil 名声较差已被 Mozilla 和 Google 除名,目前仅受微软信任。因此这个证书在 Windows 系统 (也包括 Windows Server 等) 是受信任的。
蓝点网,Bugzilla
