CNNIC 我不信任你!

本文系转载,原文地址:http://www.spookzang.net/article/1241

发生了什么事

最近,CNNIC(中国互联网络信息中心),偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?

我对此有3个疑问:

1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

测试

如果你访问下面两个网站没有弹出提示则你已经中招了。

https://tns-fsverify.cnnic.cn/
https://www.enum.cn/

解决CNNIC CA方法(IE):

工具–>Internet选项–>内容–>证书
先打开受信任的根证书发布机构
选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出
导出时,一切选择默认。
导出完毕后,开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入,把刚才导出的证书导入。
然后对着导入证书点击右键–>属性–>禁用此证书所有项目

解决CNNIC CA方法(Firefox):

菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
这是一个很长的列表,按照字母顺序,你应该能找到一个叫着“CNNIC ROOT”的记录,就是这个东西,告诉 Firefox,我们不信任它!
选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
还没有完,狡兔有三窟。
接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个“CNNIC SSL”
别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到“Entrust.net Secure Server Certification Authority”这一条,同上面一样,把3个选项的勾都去掉,保存。
(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s