首页 > 翻墙, 浏览器 > 如何删除CNNIC CA证书

如何删除CNNIC CA证书

方法:

Windows下的IE和Chrome

  • 打开IE的Internet选项(Internet Options)—>内容(Content)—>证书(Certificates)—>信任的根证书颁发机构(Trusted Root Certification Authorities);
  • 导出“CNNIC ROOT”,“CNNIC SSL”和”Entrust.net Secure Server Certification Authority”证书;
    运行”certmgr.msc”,打开不信任的证书—>证书,右键导入上述的三个证书,然后分别对其属性进行“禁用此证书的所有目的”操作;

Windows下的Firefox

  • 打开菜单中的工具(Tools)—>选项(Options)—>高级(Advanced)—>加密(Encryption)—>查看证书(View Certificates)—>证书机构(Authorities);
  • 找到“CNNIC ROOT”,“CNNIC SSL”和”Entrust.net Secure Server Certification Authority”(序列号37:4A:D2:43的)证书,编辑并取消3个选项,或者直接删除。

Windows下的Opera

  • 打开菜单中的工具(Tools)—>高级(Advanced)—>安全(Security)—>管理证书(Manage Certificates)—>颁发机构(Authorities);
  • 找到“CNNIC ROOT”,“CNNIC SSL”和”Entrust.net Secure Server Certification Authority”证书,查看并取消“允许到网站的链接使用这个证书”。

Linux下的Firefox和Opera

sudo dpkg-reconfigure ca-certificates

在接下来的界面里取消”mozilla/Entrust.net_Secure_Server_CA.crt”前面的*号。
接下来的步骤和Windows里相仿。

Linux下的Chrome

似乎无影响,如有参见LinuxCertManagement

最后是测试网站 这个这个 ,也许还有这个

背景

(from AutoProxy blog):

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。
背景知识
网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。
发生了什么事
最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!
意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:

  1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
  2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
  3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围
基本上所有浏览器的所有用户均受影响!

Advertisements
分类:翻墙, 浏览器
  1. feng
    2015/01/12 @ 17:13

    时隔4年,有人爆料GFW就是CNNIC负责的
    此时CNNIC已经被划归习总,接下来会发生什么拭目以待

  2. 2016/12/05 @ 23:40

    管线式乳化泵

  1. No trackbacks yet.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: