`
saybody
  • 浏览: 908387 次
  • 性别: Icon_minigender_2
  • 来自: 西安
文章分类
社区版块
存档分类
最新评论

CNNIC证书的危害及各种清除方法

阅读更多

  前几天已经写了2个帖子(分别是扫盲数字证书的基本知识CNNIC干过的那些破事 )作铺垫,终于开始来说正题——关于CNNIC的CA证书。<!-- program-think-->

  ★CNNIC到底干了啥事?
  从前面的帖子 ,大伙应该都看出来,CNNIC这个老流氓可是坏事做尽啊。最近这段时间,CNNIC不甘寂寞,又在CA领域,搞了点小动作。今天先来说一下,这个老流氓又坑蒙拐骗了哪些主?

  ◇Mozilla.org
  可能某些IT圈外的同学会问,Mozilla是嘛玩意?简单地说,Mozilla和Firefox的关系,就好比微软和Windows的关系。因此,Firefox自带哪些CA根证书,是由Mozilla组织决定滴。
   话说09年初那会儿,CNNIC里面的某个员工(liu_yan@cinic.cn)到Mozilla网站提交了一个申请:要求将CNNIC加入 Mozilla的CA列表。此申请经过几个月的讨论。到了09年底,审批获得通过。至此,CNNIC正式成为Mozilla的CA之一(请看“Mozilla官方的CA列表 ”)。懂洋文的同学,请自行到“这里 ”看详细的申请过程。
  因此,到Firefox下一个版本3.6发布时,其内置的诸多根证书中,将会包含CNNIC这个老流氓提供的根证书。

  ◇微软(Microsoft)
  说实在的,俺不清楚老流氓CNNIC是如何忽悠微软,让微软把它也加入到Windows内置的CA列表中的。不过这已经不重要了。现在,老流氓已经把它脏兮兮的触角,伸到了微软那儿。列位看官如若不信,可以去看“微软的CA列表 ”。
  今后,如果你安装了微软新的操作系统,多半其已经包含了CNNIC的根证书;即便你一直使用老版本的Windows,也可能在自动升级了某个Windows补丁之后,把CNNIC的根证书带到你的电脑中。

  ◇Entrust.net
  除了Mozilla和微软,还有一个组织也被CNNIC牵连了,那就是Entrust——国外一家比较老牌的CA。正是由于该CA比较老牌,因此Windows系统(至少包括Win2000之后的版本)中以及Firefox中,都已经内置了它的根证书。
  老流氓大概是花了些银子,于是该CA提供的根证书就信任了CNNIC制作的某个SSL证书(不明白证书间是如何信任的,请回顾一下俺扫盲帖 中提到的“证书信任链”)。因此,即使你电脑上没有任何CNNIC的根证书,但是只要有Entrust的证书,一样存在引狼入室的可能。

  ★这事儿对咱有啥影响?
  那电脑中有了CNNIC的证书,会出现啥鸟事捏?俺大概说一下。

  ◇“中间人攻击”的风险
  中间人攻击的风险,是最危险的,也是最经常被提及滴。
  俺在前面的帖子 已经讲了CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)。如果老流氓CNNIC成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后捏,再配合GFW进行DNS的域名劫持。那GFW就可以轻松搞定任何网站的HTTPS加密传输。
  可能有些小朋友心里会犯嘀咕:GFW会有这么坏吗?俺想借用鲁迅他老人家的一句话来回答:我向来是不惮以最坏的恶意,来推测党国的 。GFW和CNNIC作为党国的2条走狗,一起进行中间人攻击(一个负责DNS欺骗、一个负责伪造CA证书),简直是天生一对、黄金搭档啊!

  ◇ActiveX控件的风险
   另外一个大伙儿不太关注的风险,是关于ActiveX控件的问题。前几年,很多恶意软件(包括流氓软件、木马)都是通过IE控件的技术,安装到大伙儿的 电脑上。后来微软加强了多ActiveX控件的验证:在IE的默认设置下,对于没有数字签名的ActiveX控件,是拒绝安装滴;而对于有数字签名的控 件,则会给出提示。
  因此,老流氓CNNIC可以很轻松地给自己的ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。

  ★如何清理门户?
  其实网上关于如何去掉证书的操作指南,多如牛毛,所以俺就简单说一下,懒得再抓图了。
   有些浏览器(IE、Chrome、Safari)使用的是操作系统的证书体系。这种情况下,你需要把CNNIC证书从操作系统的证书体系中去掉。还有些 浏览器(比如Firefox、Opera)是自己带了一套证书体系。你只要在其配置界面,把不要的证书去除即可。下面分不同的浏览器,不同的操作系统,分 别介绍。

  ◇清理Windows的证书(适用IE、Chrome、Safari)
  对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:
1、运行Windows的证书管理器(到命令行执行certmgr.msc )。
2、选中“受信任的根证书颁发机构”=>“证书”。
3、查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4,先到“这个页面 ”下载现成的CNNIC证书(要解压缩出来)。
5、鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6、出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。
7、分别选中2个CNNIC证书及1个Entrust证书,点右键。在右键菜单中点“属性”。
8、在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9、最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。

  注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。

  ◇清理苹果Mac OS的证书(适用Safari、Chrome)
  对于使用Mac OS下的Safari或Chrome浏览器,则需要执行如下步骤:
  请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到CNNIC的证书并双击,改为“永不信任”。

  注:如果你的界面是洋文,其操作方式也八九不离十。俺就不再啰嗦了。

  ◇清理Linux的证书(适用Chrome、Safari)
  对于Debian和Ubuntu系统,以管理员权限进行如下操作:
方法1:
运行命令:dpkg-reconfigure ca-certificates 会出现一个图形界面,把CNNIC和Entrust的证书不选,并确认。
方法2:
编辑 /etc/ca-certificates.conf 文件,把CNNIC和Entrust的证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。

  注:对于其它Linux发行版本,也有类似操作,俺不再啰嗦。

  ◇清理Firefox的证书
  不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1、从菜单“工具”=>“选项” ,打开选项对话框
2、切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3、在证书对话框中,切换到“证书结构”。
4、里面的证书列表是按字母排序的。把CNNIC打头的都删除,再把Entrust开头的也删除。

  注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。

  ◇清理Opera的证书
  不论是在哪个操作系统下,只要你用的是Opera浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1、从菜单“工具”=>“首选项” ,打开首选项对话框
2、切换到“高级”标签页,在左边选择“安全性”这项。
3、点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。
4、找到CNNIC的证书及Entrust的证书,对这些证书点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉

  注:俺是基于Opera 10.10进行操作。某些老版本的界面可能略有差异。

  ★如何确认门户已经清理干净?
  为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https ://www.enum.cn 记得用https 协议哦。
  如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
  如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错?

  ★可能的副作用
  有些国内网站已经开始使用CNNIC的证书,目前已经知道的有163邮箱(真鄙视网易)。另外,因为Entrust是老牌CA,有些国外的网站已经依赖它的证书。根据目前网友的反馈,依赖Entrust的网站有如下几个:
https://genifp.apple.com
https://swdlp.apple.com
https://torproject.org

  但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。

  ★引申阅读
  另外列举一些相关的资料给大伙儿参考:
最最最严重安全警告 此文是AutoProxy的作者WCM所写。目前已经在网上广为流传。
CNNIC我不信任你——从受信任的根证书里赶走CNNIC 这篇文章也被多处转贴
noCNNIC 已经有热心网友搞了一个自动清除工具,俺还没空去试验。


版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想 和本文原始地址:

http://program-think.blogspot.com/2010/02/remove-cnnic-cert.html

分享到:
评论

相关推荐

    服务器证书配置指南之Jetty-61-CNNIC终版.pdf

    本指南针对Jetty-6.1.19版本,详细介绍了如何配置服务器证书,特别涉及到CNNIC(中国互联网信息中心)的证书。 首先,【keytool】是Java提供的一个命令行工具,用于管理密钥和证书,包括生成、导入、导出等操作。...

    CNNIC推出自主研发的服务器域名证书—网址卫士.pdf

    值得注意的是,CNNIC联合了杀毒行业和中国反钓鱼网站联盟等力量,共同启动了“绿色网络安全行动”,建立了网络危害行为协同应对平台,共享网络危害行为监测数据,共同治理病毒、木马和假冒钓鱼网站等问题。...

    服务器证书配置指南之Jetty-61-CNNIC.pdf

    2. **证书的作用**:服务器证书是证明服务器身份的重要凭证,包含公钥以及服务器的身份信息,由权威的证书颁发机构(CA,如CNNIC)签名验证。客户端可以通过验证证书来确认服务器的真实性,防止中间人攻击。 3. **...

    服务器证书配置指南之Jetty-61-CNNIC[整理].pdf

    4. **下载服务器证书**:向CNNIC(中国互联网信息中心)或其他受信任的CA提交CSR,他们会验证信息后签发服务器证书。你需要提供必要的信息,如组织信息、联系人信息等。 5. **安装根证书和服务器证书**:下载的证书...

    服务器证书配置指南之Jetty-61-CNNIC借鉴.pdf

    该指南涵盖了从生成私钥到安装服务器证书的整个过程,包括生成证书请求文件、下载服务器证书、安装根证书和服务器证书、修改配置文件等步骤。 知识点1: keytool 简介 keytool 是 Java 软件开发工具包(JDK)中的一...

    cnnic反相地址解析申请方法

    以下是对CNNIC反向地址解析申请方法的详细说明: 1. CNNIC的反向解析范围: CNNIC仅对它自身发放的IP地址提供反向解析服务。这意味着只有当IP地址来自于CNNIC的分配,才能通过CNNIC进行反向解析设置。反向解析通常...

    CNNIC中国网络购物调查报告.doc

    根据CNNIC发布的《中国网络购物调查报告》,我们可以清晰地看到电子邮箱服务与网络购物两大领域的历史演变、现状以及未来的发展方向,这对于把握互联网行业的发展脉络具有重要的参考价值。 电子邮箱作为互联网最为...

    谈CNNIC的《2021年中国搜索引擎市场研究报告》.docx

    例如,对于谷歌中国的流量市场份额,CNNIC的数据远低于艾瑞和CNZZ,这让人对其数据收集和处理方法产生怀疑。此外,报告中的数据自相矛盾,如搜搜的流量市场份额和用户渗透率之间的不匹配,显示出CNNIC在数据整理和...

    服务器证书配置指南之Jetty-61-CNNIC[收集].pdf

    - **下载根证书和中级根证书**:根证书是CA的自我签名证书,中级根证书则是由根CA签署的。这两者都是建立信任链的关键部分。 - **导入证书到keystore**:使用keytool将根证书、中级根证书和服务器证书导入到...

    CNNIC通用网址销售合同.docx

    1. CNNIC的角色:中国互联网络信息中心(CNNIC)是通用网址注册管理机构,负责通用网址系统的运行、管理和维护,以及中央数据库的更新和标准的研发。此外,CNNIC还制定通用网址的相关管理办法。 2. 注册服务机构:...

    CNNIC通用网址销售合同.pdf

    1. **CNNIC的角色**:CNNIC作为通用网址注册管理机构,负责通用网址系统的运营和管理,维护中央数据库,研发相关技术标准,以及制定管理政策。 2. **注册服务机构的职责**:被CNNIC授权的注册服务机构(乙方)需...

    CNNIC通用网址销售合同页.pdf

    4. **增值推广服务**:乙方负责提交甲方注册的通用网址至CNNIC进行增值推广,但服务内容会随CNNIC的调整而变化,解释权归CNNIC所有,不另行通知。 5. **责任与赔偿**:如果一方违约导致对方损失,应赔偿相应经济...

    nginx证书手册1

    4. 下载根证书及中级根证书:为了建立完整的信任链,需要下载CA的根证书和可能的中间证书,这些证书将用于验证服务器证书的合法性。 四、修改Nginx配置文件 1. 找到Nginx配置文件:通常位于`/etc/nginx/nginx.conf...

    CNNIC通用网址销售合同.doc

    作为通用网址的注册管理机构,CNNIC不仅仅负责通用网址系统的日常运行和维护,还须负责中央数据库的管理、相关技术的研发以及标准的制定。此外,CNNIC还需要为注册服务机构提供必要的管理办法,确保整个网络空间的...

    Apache证书手册1

    4. **下载根证书及CNNIC中级根证书** 为了建立完整的信任链,你需要下载CA的根证书和可能的中间证书。CNNIC作为中国的CA,可能会提供其根证书和中级根证书以确保浏览器能识别和信任你的证书。 **四、修改Apache...

    CNNIC通用网址销售合同范本-1.docx

    **CNNIC通用网址销售合同详解** CNNIC(中国互联网络信息中心)通用网址销售合同是企业在注册和管理通用网址时需要遵循的法律文件。通用网址是一种互联网寻址方式,类似于域名,但更易于记忆和使用。以下是合同中的...

    CNNIC通用网址销售合同书.doc

    CNNIC(中国互联网络信息中心)作为通用网址的注册管理机构,在维护互联网地址资源的权威性和公正性方面发挥着关键作用。 CNNIC通用网址销售合同书是甲方(通用网址的申请者)和乙方(CNNIC授权的注册服务机构)...

Global site tag (gtag.js) - Google Analytics