仅受微软信任的巴西证书颁发机构ICP-Brasil为谷歌域名签发证书 目的未知

ICP-Brasil 是巴西的数字证书颁发机构 (CA)，该组织主要为巴西境内公民虚拟身份验证签发数字证书，由于此前的各种违规操作导致 ICP-Brasil 名声较差目前仅受微软信任。

仅受微软信任意味着 ICP-Brasil 的数字证书在 Windows 10/11 以及微软其他产品中是可以被接受的，诸如 Mozilla Firefox 等则选择不信任该证书。

目前也再次出现业界担忧的事情：ICP-Brasil 似乎悄悄为谷歌搜索主域名 Google.com 签发了数字证书，显然谷歌是不可能主动找这家 CA 签发数字证书的。

谷歌有自己的中级 CA 用于为自家所有产品和服务签发域名，同时谷歌还在 DNS 记录中明确通过 CAA RR 指定只允许 pki.goog 为其办法数字证书。

既然如此 ICP-Brasil 怎么能为谷歌签发证书呢？如果正常扫描 DNS 记录那就应该拒绝签发，哪怕是谷歌主动要求 ICP-Brasil 签发数字证书。

所以这种操作实际上就是违规的，即 ICP-Brasil 在未经谷歌申请和未遵循 CAA RR 规则的情况下私自为谷歌域名签发证书，这已经违法 CA / 浏览器论坛制定的规则。

目前的猜测是 ICP-Brasil 为谷歌签发数字证书很有可能是为了劫持相关目的的，这个证书在 Windows 10/11 等系统 (也包括 Windows Server 等) 是受信任的。

而 Microsoft Edge 和 Google Chrome 浏览器都是读取 Windows 证书库，只要微软信任那么 Microsoft Edge 和 Chrome 都不会报警，而 Firefox 则是会弹出警报并拒绝连接。

ICP-Brasil 和谷歌暂时都未就此事发布任何说明，不知道谷歌有没有办法能够阻止这种违规签发数字证书的做法，毕竟对谷歌来说主域名被劫持将对巴西乃至全球用户产生安全风险。