这下CNNIC被逮着了

证据：
https://drive.google.com/file/d/0B_OzbbAp1CG5NXVrYmFPbFhUV2s/view?usp=sharing
Goolge发的原始消息
http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html
Mozilla发的评论
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/

On Friday, March 20th, we became aware of
unauthorized digital certificates for several Google domains. The
certificates were issued by an intermediate certificate authority
apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC.

CNNIC给埃及某中级CA颁发了不受限的证书，然后那家中级CA发布了伪证书。目前Google和Mozilla撤销了那家CA的证书
有空检查一下证书列表里CNNIC和China Internet Network Information Center的两个根证书的信任情况，Hongkong Post也可以考虑一下

如果极度关心安全不怕麻烦，可以考虑安装这个扩展，在网站证书变化时进行通知
https://addons.mozilla.org/firefox/addon/certificate-patrol/

顺便可以回顾一下5年前报的bug
https://bugzilla.mozilla.org/show_bug.cgi?id=542689

http://www.solidot.org/story?sid=43484

MCS声称它是埃及及中东地区的一家大型安全产品分销商，与许多国际知名安全公司有过合作，它是在3月11日与CNNIC签署了正式的演示协议去测试计划引入中东地区的云端安全服务，3月19日它从CNNIC获得了有效期为两周的中级证书，同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上，防火墙有一个充当SSL转发代理的主动策略，自动为浏览的域名生成证书。在周五和周六一位IT工程师使用 Google Chrome 浏览网站结果防火墙自动生成了Google域名的证书，而浏览器将假的证书信息报告给了Google。

不用删除，直接不信任即可！删除的话会出现，不如设置不信任，我系统直接停用cnnic证书OK

删的CNNIC
助纣为虐者死全家

viewtheard：一些过期的证书是不是可以删了？goagent现在都是用户自己生成证书了，隐患已经消除了吧回到原帖

CA过期操作系统或者浏览器会在线更新注销标志成不可信，当然不包含自签的CA。 如果是普通证书一过期就是不可信的。

自签证书怎么说也是放在自己电脑上，理论上还是不够安全（中了毒的话，万一哪天出现专门收集goagent跟证书的病毒，脑补下那啥卫士就已经在干了）。而且，如何保证你导入的自签证书是绝对自己签的没问题？人家银行的安装软件有更为专业的签名来签那个软件。 但是goagent没有，不能保证goagent本身没问题。
上面我才认为，这是个不看证书的世界，想用某个软件，很多人都是冲动的直接跳过信任提示。

atmouse：不用删，在导入证书的时候操作系统已经做了足够的保护跟提示， 你现在可以信任的证书都是没问题的，包括银行的跟证书，导入的时候都会有一个超大的提示框。 除了一些非CA的证书，还有只用来校验软件的证书可能会多一些，这些都是较下级的证书，过期时间跟...回到原帖

一些过期的证书是不是可以删了？goagent现在都是用户自己生成证书了，隐患已经消除了吧

viewtheard：有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了，不敢下手。回到原帖

不用删，在导入证书的时候操作系统已经做了足够的保护跟提示， 你现在可以信任的证书都是没问题的，包括银行的跟证书，导入的时候都会有一个超大的提示框。 除了一些非CA的证书，还有只用来校验软件的证书可能会多一些，这些都是较下级的证书，过期时间跟密钥长度都较短。而且不会有群杀效果。

要我说， 估计有的人电脑里面需要删的证书只有一个goagent的根证书，这个才是不知不觉导入的，而且密钥没有保证，这个CA允许中间人攻击。

有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了，不敢下手。

opentiss：已经果断删除或不信任了，太流氓了。回到原帖

你是说mozilla？还是说微软？CNNIC也能信，果然是流氓一伙，
对了，还有联想，这家伙可是光天化日之下顶风作案，而且还非常嘴硬!

在这个不看证书的世界， 就算你想访问一个网站，提示你不信任，你照样点强制访问。
信不信

已经果断删除或不信任了，太流氓了。

别老是跟CNNIC过不去， CNNIC自从n年前央视报道后，立马换跟CA，全部重签，
现在哪里还敢乱签

读一下Mozilla的消息，有个细节

CNNIC issued an unconstrained intermediate certificate that was labeled as a test certificate and had a two week validity, expiring April 3, 2015. Their customer loaded this certificate into a firewall device which performed SSL MITM

给了人至少2周不受限的权限

http://www.solidot.org/story?sid=43434
伪造证书是埃及中级 CA MCS Holdings 签的
严格来说
这不是 CNNIC 的直接过错
所以目前 firefox 和 google chrome 的处理方式是吊销了 MCS Holdings 的证书

However, CNNIC still delegated their substantial authority to an organization that was not fit to hold it.