taoww
狐狸大王
狐狸大王
  • UID39284
  • 注册日期2013-03-18
  • 最后登录2019-05-22
  • 发帖数428
  • 经验385枚
  • 威望0点
  • 贡献值90点
  • 好评度66点
阅读:2113回复:13

这下CNNIC被逮着了

楼主#
更多 发布于:2015-03-24 19:58
证据:
https://drive.google.com/file/d/0B_OzbbAp1CG5NXVrYmFPbFhUV2s/view?usp=sharing
Goolge发的原始消息
http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html
Mozilla发的评论
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/

On Friday, March 20th, we became aware of
unauthorized digital certificates for several Google domains. The
certificates were issued by an intermediate certificate authority
apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC.
CNNIC给埃及某中级CA颁发了不受限的证书,然后那家中级CA发布了伪证书。目前Google和Mozilla撤销了那家CA的证书
有空检查一下证书列表里CNNIC和China Internet Network Information Center的两个根证书的信任情况,Hongkong Post也可以考虑一下

如果极度关心安全不怕麻烦,可以考虑安装这个扩展,在网站证书变化时进行通知
https://addons.mozilla.org/firefox/addon/certificate-patrol/

顺便可以回顾一下5年前报的bug
https://bugzilla.mozilla.org/show_bug.cgi?id=542689
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2019-05-22
  • 发帖数1897
  • 经验1113枚
  • 威望1点
  • 贡献值232点
  • 好评度159点
1楼#
发布于:2015-03-24 20:15
http://www.solidot.org/story?sid=43434
伪造证书是埃及中级 CA MCS Holdings 签的
严格来说
这不是 CNNIC 的直接过错
所以目前 firefox 和 google chrome 的处理方式是吊销了 MCS Holdings 的证书
However, CNNIC still delegated their substantial authority to an organization that was not fit to hold it.
taoww
狐狸大王
狐狸大王
  • UID39284
  • 注册日期2013-03-18
  • 最后登录2019-05-22
  • 发帖数428
  • 经验385枚
  • 威望0点
  • 贡献值90点
  • 好评度66点
2楼#
发布于:2015-03-24 20:21
读一下Mozilla的消息,有个细节
CNNIC issued an unconstrained intermediate certificate that was labeled as a test certificate and had a two week validity, expiring April 3, 2015. Their customer loaded this certificate into a firewall device which performed SSL MITM
给了人至少2周不受限的权限
atmouse
狐狸大王
狐狸大王
  • UID44114
  • 注册日期2014-01-27
  • 最后登录2017-12-29
  • 发帖数325
  • 经验266枚
  • 威望0点
  • 贡献值122点
  • 好评度19点
3楼#
发布于:2015-03-24 21:44
别老是跟CNNIC过不去, CNNIC自从n年前央视报道后,立马换跟CA,全部重签,
现在哪里还敢乱签
PC-JMK6, asus m5a99x, fx8350, radeonhd7870 x2, iec958/ha/HD600, linux-next, systemd, pacman, mesa, xorg, libinput, modesetting w/ glamor, qtile, icecat,
opentiss
千年狐狸
千年狐狸
  • UID16
  • 注册日期2004-11-21
  • 最后登录2019-05-23
  • 发帖数3350
  • 经验44枚
  • 威望1点
  • 贡献值26点
  • 好评度11点
  • 社区居民
  • 忠实会员
4楼#
发布于:2015-03-27 09:26
已经果断删除或不信任了,太流氓了。
atmouse
狐狸大王
狐狸大王
  • UID44114
  • 注册日期2014-01-27
  • 最后登录2017-12-29
  • 发帖数325
  • 经验266枚
  • 威望0点
  • 贡献值122点
  • 好评度19点
5楼#
发布于:2015-03-27 10:27
在这个不看证书的世界, 就算你想访问一个网站,提示你不信任,你照样点强制访问。
信不信
PC-JMK6, asus m5a99x, fx8350, radeonhd7870 x2, iec958/ha/HD600, linux-next, systemd, pacman, mesa, xorg, libinput, modesetting w/ glamor, qtile, icecat,
atmouse
狐狸大王
狐狸大王
  • UID44114
  • 注册日期2014-01-27
  • 最后登录2017-12-29
  • 发帖数325
  • 经验266枚
  • 威望0点
  • 贡献值122点
  • 好评度19点
6楼#
发布于:2015-03-27 10:48
opentiss:已经果断删除或不信任了,太流氓了。回到原帖
你是说mozilla?还是说微软?CNNIC也能信,果然是流氓一伙,
对了,还有联想,这家伙可是光天化日之下顶风作案,而且还非常嘴硬!
PC-JMK6, asus m5a99x, fx8350, radeonhd7870 x2, iec958/ha/HD600, linux-next, systemd, pacman, mesa, xorg, libinput, modesetting w/ glamor, qtile, icecat,
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2019-05-23
  • 发帖数1758
  • 经验240枚
  • 威望1点
  • 贡献值162点
  • 好评度12点
  • 社区居民
  • 忠实会员
7楼#
发布于:2015-03-27 11:34
有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了,不敢下手。
My Technical Blog: http://gent-helvite.blogspot.com/
atmouse
狐狸大王
狐狸大王
  • UID44114
  • 注册日期2014-01-27
  • 最后登录2017-12-29
  • 发帖数325
  • 经验266枚
  • 威望0点
  • 贡献值122点
  • 好评度19点
8楼#
发布于:2015-03-27 11:48
viewtheard:有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了,不敢下手。回到原帖
不用删,在导入证书的时候操作系统已经做了足够的保护跟提示, 你现在可以信任的证书都是没问题的,包括银行的跟证书,导入的时候都会有一个超大的提示框。 除了一些非CA的证书,还有只用来校验软件的证书可能会多一些,这些都是较下级的证书,过期时间跟密钥长度都较短。而且不会有群杀效果。

要我说, 估计有的人电脑里面需要删的证书只有一个goagent的根证书,这个才是不知不觉导入的,而且密钥没有保证,这个CA允许中间人攻击。
PC-JMK6, asus m5a99x, fx8350, radeonhd7870 x2, iec958/ha/HD600, linux-next, systemd, pacman, mesa, xorg, libinput, modesetting w/ glamor, qtile, icecat,
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2019-05-23
  • 发帖数1758
  • 经验240枚
  • 威望1点
  • 贡献值162点
  • 好评度12点
  • 社区居民
  • 忠实会员
9楼#
发布于:2015-03-27 11:55
atmouse:不用删,在导入证书的时候操作系统已经做了足够的保护跟提示, 你现在可以信任的证书都是没问题的,包括银行的跟证书,导入的时候都会有一个超大的提示框。 除了一些非CA的证书,还有只用来校验软件的证书可能会多一些,这些都是较下级的证书,过期时间跟...回到原帖
一些过期的证书是不是可以删了?goagent现在都是用户自己生成证书了,隐患已经消除了吧
My Technical Blog: http://gent-helvite.blogspot.com/
atmouse
狐狸大王
狐狸大王
  • UID44114
  • 注册日期2014-01-27
  • 最后登录2017-12-29
  • 发帖数325
  • 经验266枚
  • 威望0点
  • 贡献值122点
  • 好评度19点
10楼#
发布于:2015-03-27 12:25
viewtheard:一些过期的证书是不是可以删了?goagent现在都是用户自己生成证书了,隐患已经消除了吧回到原帖
CA过期操作系统或者浏览器会在线更新注销标志成不可信,当然不包含自签的CA。 如果是普通证书一过期就是不可信的。

自签证书怎么说也是放在自己电脑上,理论上还是不够安全(中了毒的话,万一哪天出现专门收集goagent跟证书的病毒,脑补下那啥卫士就已经在干了)。而且,如何保证你导入的自签证书是绝对自己签的没问题?人家银行的安装软件有更为专业的签名来签那个软件。 但是goagent没有,不能保证goagent本身没问题。
上面我才认为,这是个不看证书的世界,想用某个软件,很多人都是冲动的直接跳过信任提示。
PC-JMK6, asus m5a99x, fx8350, radeonhd7870 x2, iec958/ha/HD600, linux-next, systemd, pacman, mesa, xorg, libinput, modesetting w/ glamor, qtile, icecat,
opentiss
千年狐狸
千年狐狸
  • UID16
  • 注册日期2004-11-21
  • 最后登录2019-05-23
  • 发帖数3350
  • 经验44枚
  • 威望1点
  • 贡献值26点
  • 好评度11点
  • 社区居民
  • 忠实会员
11楼#
发布于:2015-03-27 21:10
删的CNNIC
助纣为虐者死全家
dsyo2008
狐狸大王
狐狸大王
  • UID34824
  • 注册日期2010-12-10
  • 最后登录2019-04-29
  • 发帖数514
  • 经验205枚
  • 威望0点
  • 贡献值86点
  • 好评度11点
  • 社区居民
  • 忠实会员
12楼#
发布于:2015-03-27 21:14
不用删除,直接不信任即可!删除的话会出现,不如设置不信任,我系统直接停用cnnic证书OK
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2019-05-22
  • 发帖数1897
  • 经验1113枚
  • 威望1点
  • 贡献值232点
  • 好评度159点
13楼#
发布于:2015-03-27 22:19
http://www.solidot.org/story?sid=43484

MCS声称它是埃及及中东地区的一家大型安全产品分销商,与许多国际知名安全公司有过合作,它是在3月11日与CNNIC签署了正式的演示协议去测试计划引入中东地区的云端安全服务,3月19日它从CNNIC获得了有效期为两周的中级证书,同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上,防火墙有一个充当SSL转发代理的主动策略,自动为浏览的域名生成证书。在周五和周六一位IT工程师使用 Google Chrome 浏览网站结果防火墙自动生成了Google域名的证书,而浏览器将假的证书信息报告给了Google。
游客

返回顶部