CNNIC----我不信任你!

【转载】

点击打开链接

背景知识

    网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然不惮于在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

    如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。

发生了什么事？

    

    最近，CNNIC----对，就是这个臭名昭著的、利用系统漏洞发布流氓软件的、然而使劲地向国人忽悠CN域名却又突然停止域名解析的 CNNIC (中国互联网络信息中心)，它----偷偷地获得了CA 权限！----在所有中文用户被隐瞒的情况下！

意味着什么?

    意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

    这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

    你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

你可以测试

如果你访问下面两个网站
https://tns-fsverify.cnnic.cn/
https://www.cnnic.cn/

 倘若没有弹出提示，则说明你已经中招了！

解决CNNIC CA方法（for IE）：

• 工具–>Internet选项–>内容–>证书
• 先打开受信任的根证书发布机构
• 选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出
• 导出时，一切选择默认。
• 导出完毕后，开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入，把刚才导出的证书导入
• 然后对着导入证书点击右键–>属性–>禁用此证书所有项目

解决CNNIC CA方法（for Firefox）:

•  菜单栏：工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
•  这是一个很长的列表，按照字母顺序，你应该能找到一个叫着 “CNNIC ROOT” 的记录，就是这个东西，你可以告诉 Firefox，我们不信任它！
• 选中 CNNIC ROOT，点击下面的“编辑”按钮，弹出一个框，应该有3个选项，把所有选项的勾都去掉，再保存。
• 还没有完，狡兔有三窟。
• 接着往下找，有一个叫着 Entrust.net 的组，这个组里应该有一个 “CNNIC SSL” (如果没有，访问一下 这个网站 就有了)
• 别急着下手，这回情况不一样，这个证书是 Entrust 签名的。我们信任 Entrust，Entrust说它信任 CNNIC，所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条，同上面一样，把3个选项的勾都去掉，保存（提示：取消了对 Entrust 的信任以后，可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名，随便试了一下，没找到例子）。
• 最后，让我们验证一下。重启 Firefox，打开 这个 和 这个 网站，如果Firefox 对这两个网站都给出了安全警告，而非正常浏览，恭喜，您已经摆脱了 CNNIC CA 的安全威胁！
•