CNNIC----我不信任你!
来源:互联网 发布:黄淮学院教务网络 编辑:程序博客网 时间:2024/05/01 20:56
【转载】
点击打开链接
背景知识
网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然不惮于在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。
如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。
发生了什么事?
最近,CNNIC----对,就是这个臭名昭著的、利用系统漏洞发布流氓软件的、然而使劲地向国人忽悠CN域名却又突然停止域名解析的 CNNIC (中国互联网络信息中心),它----偷偷地获得了CA 权限!----在所有中文用户被隐瞒的情况下!
意味着什么?
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:
- 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
- CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
- 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?
你可以测试
如果你访问下面两个网站
https://tns-fsverify.cnnic.cn/
https://www.cnnic.cn/
倘若没有弹出提示,则说明你已经中招了!
解决CNNIC CA方法(for IE):
- 工具–>Internet选项–>内容–>证书
- 先打开受信任的根证书发布机构
- 选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出
- 导出时,一切选择默认。
- 导出完毕后,开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入,把刚才导出的证书导入
- 然后对着导入证书点击右键–>属性–>禁用此证书所有项目
解决CNNIC CA方法(for Firefox):
- 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
- 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的记录,就是这个东西,你可以告诉 Firefox,我们不信任它!
- 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉,再保存。
- 还没有完,狡兔有三窟。
- 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL” (如果没有,访问一下 这个网站 就有了)
- 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
- 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!
- CNNIC----我不信任你!
- CNNIC:一元CN,不忽悠你忽悠谁
- ”不信任“的管理机制--转
- 破解cnnic-1.2.0.1和分析icesword部分功能-【一】----对了,我还有个名字,酒肉和尚
- CNNIC驱动变化问题
- 我-你
- 你&我
- Volley Https证书不信任解决方案
- 你你你你你您 我我我我我
- CNNIC公布搜索引擎市场报告
- CNNIC证书的清除方法
- 你不是我,你不是我
- 我只喜欢你,我不去爱你
- 我泥中有你,你泥中有我
- 你不懂我 我不怪你
- 你不懂我,我不怪你
- 因为你我,成为你我
- 我喜欢你和我不喜欢你
- arm11裸机点亮LED完整步骤--OK6410A
- 用jquery解析JSON数据的方法
- 【ci框架】ci框架目录结构分析
- 页面逻辑与页面表现的分离,让你的Ajax编程更加模块化
- animation动画效果
- CNNIC----我不信任你!
- JAVA compareTo
- 高性能Mysql主从架构的复制原理及配置详解
- 毛泽东醒世慧言 句句经典
- android学习笔记---46视频刻录的实现,视频录像器。
- 深入Java变量的初始化问题探究
- new 第四届BOBSLEDDING(不要被省赛的题目吓到,里面不一定有算法)
- 那个不嫌你穷的姑娘,为什么没陪你走到最后
- 【Introduction】人类大脑