|
|---|
|
|
|
|
|
|
p*********w
发帖数: 23432 | 1 把CNNIC的假证书扫地出门zz
by GFW BLOG 功夫网与翻墙
来源:http://www.librehat.info/04/wipe-out_cnnic-ca/
为什么要将CNNIC扫地出门,事情真的有这么严重?
网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要
的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在
保障我们的信息安全,它将我们和网站服务器的通信加密起来。
如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (
Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都
是经过全球审核,值得信赖的。
发生了什么事
最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使
劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷
地获得了 CA 权限!在所有中文用户被隐瞒的情况下!
意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取
我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览
器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,
不会给我们任何警告,即使是造假的证书!
你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷
偷地干坏事吗?
我对此有3个疑问:
某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA
,若 GFW 令下,CNNIC 敢不从否?
CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它
不会故伎重演?
为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是
否有足够的职业操守?
影响范围
基本上所有浏览器的所有用户均受影响!
目前的解决方案:
Linux平台下删除CNNIC证书:
关于Linux的CA证书管理软件;http://code.google.com/p/chromium/wiki/LinuxCertManagement ,各大发行版可以快速的安装这个CA证书管理软件:
Ubuntu:
sudo apt-get install libnss3-tools
Fedora:
su -c "yum install nss-tools"
Gentoo:
su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge
dev-libs/nss"
OpenSUSE:
sudo zypper install mozilla-nss-tools
安装完成后,在终端下运行这条命令可以显示部分证书:
(在Gentoo下,要将下面的几条命令中的certutil命令改为nsscertutil)
certutil -d sql:$HOME/.pki/nssdb-L
一般情况下会出现与CNNIC有关的条目,这个时候执行下面这条命令删除CNNIC证书:
certutil -d sql:$HOME/.pki/nssdb-D -n "CNNIC ROOT"
其中的CNNIC ROOT视列出的名字而定。
如果没有显示CNNIC有关的条目的话,我是这样让其显形的:
Chromium浏览器设置页面->高级选项->管理证书,点击授权中心,找到CNNIC,选择
CNNIC ROOT,点击修改,将所有的勾都取消掉(即不信任该中心的证书),再次按照上
面的方法,这个时候应该会列出CNNIC的证书了,删除掉CNNIC ROOT吧!重启Chromium
浏览器,打开http://www.enum.cn/en/看是不是显示不安全链接了,如果还是安全的链接说明删除失败了。
Firefox火狐狸浏览器的设置方法(来源):
菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的
记录,就是这个东西,告诉 Firefox,我们不信任它!
选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所
有选项的勾都去掉!保存。
还没有完,狡兔有三窟。
接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL
” (如果没有,访问一下 这个网站 就有了)
别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust
,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.
net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的
勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某
些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox
对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安
全威胁!
Windows下删除CNNIC证书的方法(详细)
在https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 下载CNNIC的证书
运行 certmgr.msc ,展开” 不受信任的证书 (Untrusted Certificates) “,右
键单击其下” 证书 (Certificates) “项,在” 所有任务 (All Tasks) “子菜单下
单击” 导入 (Import) … “将CNNIC的证书导入到不信任的证书机构。
受信任的证书颁发机构,然后,cnnic root双击,然后,详细信息,然后 编辑属
性, 最后下狠手,停用这个证书的所有目的!
Windows平台的Chrome/Chromium/Firefox可以参考Linux平台下的禁用方法。
可以参考这篇文章:http://blog.lzzxt.com/394
Mac OS X下删除CNNIC证书的方法(`需`’翻`’墙`)
——————————————————————————————————————
———
需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或
访问http://tinyurl.com/gfwblog直接下载。
推特用户请点击这里免翻墙上推特
请点击这里下载翻墙软件
更多翻墙方法请发电邮(最好用Gmail)到:f**********[email protected]
请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙)
请使用Google Reader订阅中国数字时代中文版(http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。
推特用户请点击这里免翻墙上推特 点击这里下载翻墙软件更多翻墙方法请发电邮(最好
用Gmail)到:g************[email protected] 翻墙技术博客GFW BLOG(免翻墙) 阅读中国
数字时代(免翻墙) | I*********t
发帖数: 5258 | 2 这个几年前就有了吧,而且基本是多此一举,删除了,在国内上网照样不安全。
【在 p*********w 的大作中提到】
: 把CNNIC的假证书扫地出门zz
: by GFW BLOG 功夫网与翻墙
: 来源:http://www.librehat.info/04/wipe-out_cnnic-ca/
: 为什么要将CNNIC扫地出门,事情真的有这么严重?
: 网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要
: 的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在
: 保障我们的信息安全,它将我们和网站服务器的通信加密起来。
: 如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (
: Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都
: 是经过全球审核,值得信赖的。
| j*******n
发帖数: 3254 | |
|
|
|
|
|
|
