CNNIC，我不信任你！——从“受信任的根证书”里赶走CNNIC

在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项，按导出(Export)（备份到本地），然后编辑(Edit)，去除里面的三个勾选，然后单击确定(OK)。（RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的，并不会将其删除。）

在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书，同样导出并去除勾选。

Ericks：这个选项在哪里的？我怎么找不到？！

PS：找到是找到了，可是导出来的目的是为什么 ？直接编辑去掉勾选不行吗？回到原帖

xelnaga：现在mozilla的人死命不肯去掉
要证据证明CNNIC“有罪”回到原帖

vincent1417：为什么这个blog还活着回到原帖

盘儿净：我的Fx里没有CNNIC的证书？这玩意儿是咋跑到你的Fx里的？你不同意，它还能调戏你？！FX可是一个法制社会哟回到原帖

lancaster：支持下, 这个证书必须去掉.回到原帖

发生了什么事

最近，CNNIC——对，就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！

 
意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

   1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
   2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
   3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

 
影响范围

基本上所有浏览器的所有用户均受影响！

heyhd：还有脸挂着那个图，呵呵。回到原帖