idragonet

千年狐狸

UID15658
注册日期2006-11-12
最后登录2017-11-15
发帖数2642
经验162枚
威望1点
贡献值74点
好评度118点

加关注写私信

阅读：6628回复：19

CNNIC，我不信任你！——从“受信任的根证书”里赶走CNNIC

楼主^#

更多发布于：2010-02-01 11:56

http://felixcat.net/2010/01/throw-out-cnnic/

在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项，按导出(Export)（备份到本地），然后编辑(Edit)，去除里面的三个勾选，然后单击确定(OK)。（RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的，并不会将其删除。）

在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书，同样导出并去除勾选。

喜欢0

GOODGOGOGO 火狐狸 UID26563 注册日期2008-10-06 最后登录2010-12-11 发帖数111 经验10枚威望0点贡献值0点好评度0点加关注写私信	1楼^# 发布于：2010-02-01 11:56 去掉了有什么好处或者变化
	回复(0) 喜欢(0)

idragonet

千年狐狸

UID15658
注册日期2006-11-12
最后登录2017-11-15
发帖数2642
经验162枚
威望1点
贡献值74点
好评度118点

加关注写私信

2楼^#

发布于：2010-02-01 11:56

GOODGOGOGO：去掉了有什么好处或者变化回到原帖

流氓的证书能信任呢？ <img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /> <img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /> <img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" />

回复喜欢

lancaster 火狐狸 UID5142 注册日期2005-04-16 最后登录2011-09-04 发帖数134 经验10枚威望0点贡献值0点好评度0点加关注写私信	3楼^# 发布于：2010-02-01 11:56 支持下, 这个证书必须去掉.
	回复(0) 喜欢(0)

heyhd 小狐狸 UID2652 注册日期2005-01-30 最后登录2012-01-22 发帖数53 经验10枚威望0点贡献值0点好评度0点加关注写私信	4楼^# 发布于：2010-02-01 11:56 还有脸挂着那个图，呵呵。
	回复(0) 喜欢(0)

mygames10

狐狸大王

UID30577
注册日期2009-10-04
最后登录2022-02-14
发帖数337
经验55枚
威望0点
贡献值48点
好评度3点

加关注写私信

5楼^#

发布于：2010-02-01 11:56

3.5.X的版本的FF好像没这个证书，这个证书肯定要去掉的

Nice to meet you.

回复喜欢

idragonet

千年狐狸

UID15658
注册日期2006-11-12
最后登录2017-11-15
发帖数2642
经验162枚
威望1点
贡献值74点
好评度118点

加关注写私信

6楼^#

发布于：2010-02-01 11:56

heyhd：还有脸挂着那个图，呵呵。回到原帖

挂着谷歌的图怎么啦？

回复喜欢

hmony

火狐狸

UID1954
注册日期2005-01-09
最后登录2010-05-15
发帖数172
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

7楼^#

发布于：2010-02-01 11:56

lancaster：支持下, 这个证书必须去掉.回到原帖

请看看吧！

发生了什么事

最近，CNNIC——对，就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

   1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
   2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
   3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

影响范围

基本上所有浏览器的所有用户均受影响！

回复喜欢

romantickoala 小狐狸 UID31910 注册日期2010-02-01 最后登录2013-08-23 发帖数36 经验10枚威望0点贡献值0点好评度0点加关注写私信	8楼^# 发布于：2010-02-01 11:56 流氓不可怕，流浪有了上岗证那就可怕了……
	回复(0) 喜欢(0)

vincent1417 小狐狸 UID29241 注册日期2009-06-20 最后登录2015-01-11 发帖数26 经验10枚威望0点贡献值0点好评度0点加关注写私信	9楼^# 发布于：2010-02-01 11:56 为什么这个blog还活着
	回复(0) 喜欢(0)

盘儿净

火狐狸

UID16250
注册日期2006-12-15
最后登录2017-02-04
发帖数147
经验10枚
威望0点
贡献值0点
好评度0点

加关注写私信

10楼^#

发布于：2010-02-01 11:56

我的Fx里没有CNNIC的证书？这玩意儿是咋跑到你的Fx里的？你不同意，它还能调戏你？！FX可是一个法制社会哟

回复喜欢

alanfly 千年狐狸 UID31035 注册日期2009-11-10 最后登录2024-05-16 发帖数2767 经验578枚威望1点贡献值128点好评度100点加关注写私信	11楼^# 发布于：2010-02-01 11:56 盘儿净：我的Fx里没有CNNIC的证书？这玩意儿是咋跑到你的Fx里的？你不同意，它还能调戏你？！FX可是一个法制社会哟回到原帖 3.6才有的，所有的浏览器都添加了。
	回复(0) 喜欢(0)