巴西数字证书颁发机构ICP-Brasil因此前违规操作名声不佳，目前仅受微软信任。近期发现其疑似私自为谷歌主域名Google.com签发了数字证书，此举违反了CAA RR规则和CA/浏览器论坛的规定。由于微软信任ICP-Brasil，Windows系统和Edge、Chrome浏览器不会发出警告，但Firefox会弹出警报。此事件引发业界担忧，谷歌主域名被劫持可能对巴西乃至全球用户造成安全风险，但目前双方均未对此事发表声明。

🤔ICP-Brasil是巴西的数字证书颁发机构，因之前的违规操作，目前仅受微软信任，其证书在Windows系统和微软产品中有效，但在其他浏览器如Firefox中不被信任。

⚠️ICP-Brasil疑似私自为谷歌主域名Google.com签发了数字证书，而谷歌从未申请过，也明确指定了只允许pki.goog签发证书，违反了CAA RR规则。

💻由于微软信任ICP-Brasil，Windows系统和Edge、Chrome浏览器不会对该证书发出警告，但Firefox会弹出警报，这可能导致用户误以为连接安全。

🚨这种违规签发证书的行为可能用于劫持谷歌域名，对巴西乃至全球用户造成安全风险，但目前谷歌和ICP-Brasil都未对此事发表声明。

❓业界担忧谷歌主域名被劫持的风险，以及谷歌是否能够阻止这种违规行为，这引发了对数字证书安全和信任机制的关注。

ICP-Brasil 是巴西的数字证书颁发机构 (CA)，该组织主要为巴西境内公民虚拟身份验证签发数字证书，由于此前的各种违规操作导致 ICP-Brasil 名声较差目前仅受微软信任。

仅受微软信任意味着 ICP-Brasil 的数字证书在 Windows 10/11 以及微软其他产品中是可以被接受的，诸如 Mozilla Firefox 等则选择不信任该证书。

目前也再次出现业界担忧的事情：ICP-Brasil 似乎悄悄为谷歌搜索主域名 Google.com 签发了数字证书，显然谷歌是不可能主动找这家 CA 签发数字证书的。

谷歌有自己的中级 CA 用于为自家所有产品和服务签发域名，同时谷歌还在 DNS 记录中明确通过 CAA RR 指定只允许 pki.goog 为其办法数字证书。

既然如此 ICP-Brasil 怎么能为谷歌签发证书呢？如果正常扫描 DNS 记录那就应该拒绝签发，哪怕是谷歌主动要求 ICP-Brasil 签发数字证书。

所以这种操作实际上就是违规的，即 ICP-Brasil 在未经谷歌申请和未遵循 CAA RR 规则的情况下私自为谷歌域名签发证书，这已经违法 CA / 浏览器论坛制定的规则。

目前的猜测是 ICP-Brasil 为谷歌签发数字证书很有可能是为了劫持相关目的的，这个证书在 Windows 10/11 等系统 (也包括 Windows Server 等) 是受信任的。

而 Microsoft Edge 和 Google Chrome 浏览器都是读取 Windows 证书库，只要微软信任那么 Microsoft Edge 和 Chrome 都不会报警，而 Firefox 则是会弹出警报并拒绝连接。

ICP-Brasil 和谷歌暂时都未就此事发布任何说明，不知道谷歌有没有办法能够阻止这种违规签发数字证书的做法，毕竟对谷歌来说主域名被劫持将对巴西乃至全球用户产生安全风险。