这下CNNIC被逮着了

证据：
https://drive.google.com/file/d/0B_OzbbAp1CG5NXVrYmFPbFhUV2s/view?usp=sharing
Goolge发的原始消息
http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html
Mozilla发的评论
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/

On Friday, March 20th, we became aware of
unauthorized digital certificates for several Google domains. The
certificates were issued by an intermediate certificate authority
apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC.

CNNIC给埃及某中级CA颁发了不受限的证书，然后那家中级CA发布了伪证书。目前Google和Mozilla撤销了那家CA的证书
有空检查一下证书列表里CNNIC和China Internet Network Information Center的两个根证书的信任情况，Hongkong Post也可以考虑一下

如果极度关心安全不怕麻烦，可以考虑安装这个扩展，在网站证书变化时进行通知
https://addons.mozilla.org/firefox/addon/certificate-patrol/

顺便可以回顾一下5年前报的bug
https://bugzilla.mozilla.org/show_bug.cgi?id=542689

http://www.solidot.org/story?sid=43434
伪造证书是埃及中级 CA MCS Holdings 签的
严格来说
这不是 CNNIC 的直接过错
所以目前 firefox 和 google chrome 的处理方式是吊销了 MCS Holdings 的证书

However, CNNIC still delegated their substantial authority to an organization that was not fit to hold it.

读一下Mozilla的消息，有个细节

CNNIC issued an unconstrained intermediate certificate that was labeled as a test certificate and had a two week validity, expiring April 3, 2015. Their customer loaded this certificate into a firewall device which performed SSL MITM

给了人至少2周不受限的权限

别老是跟CNNIC过不去， CNNIC自从n年前央视报道后，立马换跟CA，全部重签，
现在哪里还敢乱签

已经果断删除或不信任了，太流氓了。

在这个不看证书的世界， 就算你想访问一个网站，提示你不信任，你照样点强制访问。
信不信

opentiss：已经果断删除或不信任了，太流氓了。回到原帖

你是说mozilla？还是说微软？CNNIC也能信，果然是流氓一伙，
对了，还有联想，这家伙可是光天化日之下顶风作案，而且还非常嘴硬!

有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了，不敢下手。

viewtheard：有没有人整理过哪些证书是必须的。一大堆看不懂。没必要证书的就全删了，不敢下手。回到原帖

不用删，在导入证书的时候操作系统已经做了足够的保护跟提示， 你现在可以信任的证书都是没问题的，包括银行的跟证书，导入的时候都会有一个超大的提示框。 除了一些非CA的证书，还有只用来校验软件的证书可能会多一些，这些都是较下级的证书，过期时间跟密钥长度都较短。而且不会有群杀效果。

要我说， 估计有的人电脑里面需要删的证书只有一个goagent的根证书，这个才是不知不觉导入的，而且密钥没有保证，这个CA允许中间人攻击。

atmouse：不用删，在导入证书的时候操作系统已经做了足够的保护跟提示， 你现在可以信任的证书都是没问题的，包括银行的跟证书，导入的时候都会有一个超大的提示框。 除了一些非CA的证书，还有只用来校验软件的证书可能会多一些，这些都是较下级的证书，过期时间跟...回到原帖

一些过期的证书是不是可以删了？goagent现在都是用户自己生成证书了，隐患已经消除了吧

viewtheard：一些过期的证书是不是可以删了？goagent现在都是用户自己生成证书了，隐患已经消除了吧回到原帖

CA过期操作系统或者浏览器会在线更新注销标志成不可信，当然不包含自签的CA。 如果是普通证书一过期就是不可信的。

自签证书怎么说也是放在自己电脑上，理论上还是不够安全（中了毒的话，万一哪天出现专门收集goagent跟证书的病毒，脑补下那啥卫士就已经在干了）。而且，如何保证你导入的自签证书是绝对自己签的没问题？人家银行的安装软件有更为专业的签名来签那个软件。 但是goagent没有，不能保证goagent本身没问题。
上面我才认为，这是个不看证书的世界，想用某个软件，很多人都是冲动的直接跳过信任提示。

删的CNNIC
助纣为虐者死全家

不用删除，直接不信任即可！删除的话会出现，不如设置不信任，我系统直接停用cnnic证书OK

http://www.solidot.org/story?sid=43484

MCS声称它是埃及及中东地区的一家大型安全产品分销商，与许多国际知名安全公司有过合作，它是在3月11日与CNNIC签署了正式的演示协议去测试计划引入中东地区的云端安全服务，3月19日它从CNNIC获得了有效期为两周的中级证书，同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上，防火墙有一个充当SSL转发代理的主动策略，自动为浏览的域名生成证书。在周五和周六一位IT工程师使用 Google Chrome 浏览网站结果防火墙自动生成了Google域名的证书，而浏览器将假的证书信息报告给了Google。