【转帖】为什么不能信任你电脑中的CNNIC证书?CNNIC证书的危害
月光博客 @williamlong 26分26分钟前【删除CNNIC证书的方法】删除的主要原因是避免“中间人攻击”,删除方法:命令行执行certmgr.msc,“受信任的根证书颁发机构”-“证书”,CNNIC证书上点右键,“停用这个证书的所有目的”,然后确定。
CNNIC证书的危害,看这里:
http://search.aol.com/aol/search?q=%E5%88%A0%E9%99%A4CNNIC%E8%AF%81%E4%B9%A6&s_it=opensearch
http://www.zhihu.com/question/20746900
CNNIC 是干什么的
CNNIC 不是企业、不是事业、不是社团。截至2001年7月,它业已卖掉12万个cn域名,CNNIC仅此一项,年毛收入就可以达到近4000万元,而且这个数字还在飞速增长之中。另外,CNNIC还在做中文域名注册、流量认证、通用网址注册、认证培训等十分赚钱的业务。
上级主管单位:工信部(没错,就是搞绿坝的那货)
CNNIC证书是干什么的
浏览网站时,你可能注意到部分网址是 https 开头的,这表明你与该网站服务器之间的链接是加密的,其他人无法获取的具体内容信息。为了建立安全链接,网站的服务器一般都会使用 SSL 证书,这些证书由第三方机构颁布,保证了权威性和安全性。
CNNIC证书也可以看做是这样一个证书,当你和一个网站建立安全连接时,如果使用的证书是 CNNIC 证书,系统(浏览器)也会默认这个连接是安全的。
为什么不能信任CNNIC证书
首先,CNNIC本身就不是好鸟:
长期发布流氓软件
域名管理混乱
强行霸占域名
禁止个人注册域名
政策朝令夕改
其次,如果你信任了 CNNIC 证书,可能导致:
中间人攻击(非常重要,CNNIC证书配合***,走遍天下无敌手)
ActiveX攻击
最后,CNNIC 证书已经被 Windows、Mozilla 等大厂商广泛接受被作为系统内置默认可信任的证书。因此,我们需要手动清理 CNNIC 证书。
[ Edited by海上新客 on 2015-1-23 12:31 ] 给个技术上的可能情况。如果你信任了CNNIC的Root证书,当你访问某些https加密网站的时候,***能通过DNS污染等手段劫持你的通讯,将你的数据引向伪装的服务器。
由于你信任了CNNIC,这个伪装的服务器只要拿着CNNIC给它的证书就能得到浏览器的认证而不报警,那么你将很难发现你进入了一个陷阱。 ★如何确认门户已经清理干净?
为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是https://www.cnnic.cn 记得用 HTTPS 协议哦。
如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。
★可能的副作用
有些国内网站已经开始使用CNNIC的证书,目前已经知道的有163邮箱(真鄙视网易)。但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。 ◇清理Windows的证书(适用IE、Chrome、Safari)
对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:
1. 运行Windows的证书管理器(到命令行执行certmgr.msc)。
2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4. 先**到“这个页面”下载现成的CNNIC证书(要解压缩出来)。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。
7. 选中CNNIC证书,点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9. 最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。
注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。
◇清理苹果Mac OS的证书(适用Safari、Chrome)
对于使用Mac OS下的Safari或Chrome浏览器,则需要执行如下步骤:
请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到CNNIC的证书并双击,改为“永不信任”。
注:如果你的界面是洋文,其操作方式也八九不离十。俺就不再啰嗦了。
◇清理Linux的证书(适用Chrome、Safari)
对于Debian和Ubuntu系统,以管理员权限进行如下操作:
方法1:
运行命令:dpkg-reconfigure ca-certificates 会出现一个图形界面,把CNNIC证书不选,并确认。
方法2:
编辑 /etc/ca-certificates.conf 文件,把CNNIC证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。
注:对于其它Linux发行版本,也有类似操作,俺不再啰嗦。
◇清理Firefox的证书
不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“选项” ,打开选项对话框
2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3. 在证书对话框中,切换到“证书机构”。
4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。
注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。
◇清理Opera的证书
不论是在哪个操作系统下,只要你用的是Opera浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“首选项” ,打开首选项对话框
2. 切换到“高级”标签页,在左边选择“安全性”这项。
3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。
4. 找到CNNIC的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉
注:俺是基于Opera 10.10进行操作。新版本的界面可能略有差异。 https://github.com/greatfire/wiki
https://d2h5dkhxvxyg97.cloudfront.net/tags/78
http://image.xcar.com.cn/attachments/a/day_150123/2015012311_5195b01a74f88865e622uPyNsWmAgLiy.png 不懂,很长,看看先 ★如何确认门户已经清理干净?
为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是https://www.cnnic.cn 记得用 HTTPS 协议哦。
如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
顺利打开....
CNNIC是提示不可信了
但是mail.163.com还是可以直接访问,换证书了?
页:
[1]