170 评论

CNNIC 证书的危害及各种清除方法

  前几天已经写了2个帖子(分别是扫盲数字证书的基本知识CNNIC 干过的那些破事)作铺垫,终于开始来说正题——关于 CNNIC 的 CA 证书。

★CNNIC到底干了啥事?


  从前面的帖子,大伙应该都看出来,CNNIC 这个老流氓可是坏事做尽啊。最近这段时间,CNNIC 不甘寂寞,又在 CA 领域,搞了点小动作。今天先来说一下,这个老流氓又坑蒙拐骗了哪些主?

◇Mozilla.org


  可能某些IT圈外的同学会问,Mozilla是嘛玩意?简单地说,“Mozilla 和 Firefox 的关系”就好比“微软和 Windows 的关系”。因此,Firefox 自带哪些 CA 根证书,是由 Mozilla 组织决定滴。
  话说2009年初那会儿,CNNIC 里面的某个员工(liu_yan@cinic.cn)到 Mozilla 网站提交了一个申请:要求将 CNNIC 加入 Mozilla 的 CA 列表。此申请经过几个月的讨论。到了2009年底,审批获得通过。至此,CNNIC 正式成为 Mozilla 的 CA 之一(请看“Mozilla官方的CA列表”)。懂洋文的同学,请自行到“这里”看详细的申请过程。
  因此,从 Firefox 的3.6版本开始,其内置的诸多根证书中,将会包含 CNNIC 这个老流氓提供的根证书。

◇微软(Microsoft)


  说实在的,俺不清楚老流氓 CNNIC 是如何忽悠微软,让微软把它也加入到 Windows 内置的 CA 列表中的。不过这已经不重要了。现在,老流氓已经把它脏兮兮的触角,伸到了微软那儿。列位看官如若不信,可以去看“微软的CA列表”。
  今后,如果你安装了微软新的操作系统,多半其已经包含了 CNNIC 的根证书;即便你一直使用老版本的 Windows,也可能在自动升级了某个 Windows 补丁之后,把CNNIC的根证书带到你的电脑中。

◇Entrust.net


  除了 Mozilla 和微软,还有一个组织也被 CNNIC 牵连了,那就是 Entrust ——国外一家比较老牌的 CA。正是由于该 CA 比较老牌,因此 Windows 系统(至少包括 Win2000 之后的版本)中以及 Firefox 中,都已经内置了它的根证书。
  老流氓大概是花了些银子,于是该CA提供的根证书就信任了 CNNIC 制作的某个 SSL 证书(不明白证书间是如何信任的,请回顾一下俺扫盲帖中提到的“证书信任链”)。
  到了2010年下半年,Entrust 大概也意识到 CNNIC 的名声太臭,就解除了跟 CNNIC 的信任关系。所以,如今【新的】Entrust 证书,已经不再信任 CNNIC 的 SSL 证书了。如果你的浏览器是新版本或者 Windows 系统更新过新的补丁,其内置的 Entrust 证书应该是安全的,不用清理了。如果你吃不准 Windows 系统或浏览器内置的 Entrust 证书是否安全,请根据本文后续章节“★如何确认门户已经清理干净”介绍的方法判断。

★这事儿对咱有啥影响?


  那电脑中有了 CNNIC 的证书,会出现啥鸟事捏?俺大概说一下。

◇“中间人攻击”的风险


  中间人攻击的风险,是最危险的,也是最经常被提及滴。
  俺在前面的帖子已经讲了 CA 证书对于 https 协议的重要性(可以防止攻击者伪造虚假网站)。既然老流氓 CNNIC 已经成为合法的 CA,那它就能堂而皇之地制作并发布 CA 证书。然后捏,再配合 GFW 进行 DNS 的域名污染。那 GFW 就可以轻松搞定任何网站的HTTPS加密传输。
  可能有些小朋友心里会犯嘀咕:GFW 会有这么坏吗?俺想篡改鲁迅他老人家的一句话来回答:俺向来是不惮以最坏的恶意,来推测党国。GFW 和 CNNIC 作为党国的2条走狗,一起进行中间人攻击(一个负责在 DNS 上做手脚、另一个负责伪造 CA 证书),简直是天生一对、黄金搭档啊!

◇ActiveX控件的风险


  另外一个大伙儿不太关注的风险,是关于 ActiveX 控件的问题。前几年,很多恶意软件(包括流氓软件、木马)都是通过 IE 控件的技术,安装到大伙儿的电脑上。后来微软加强了对 ActiveX 控件的验证:在 IE 的默认设置下,对于【没有】数字签名的 ActiveX 控件,默认是拒绝安装滴;而对于有数字签名的控件,则会给出提示。
  因此,老流氓 CNNIC 可以很轻松地给自己的 ActiveX 控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。

★如何清理门户?


  其实网上关于如何去掉证书的操作指南,多如牛毛,所以俺就简单说一下,懒得再抓图了。
  有些浏览器(IE、Chrome、Safari)使用的是操作系统的证书体系。这种情况下,你需要把 CNNIC 证书从操作系统的证书体系中去掉;还有些浏览器(比如Firefox、Opera)是自己带了一套证书体系。你要进入该浏览器的配置界面,把不要的证书去除即可。
  下面分不同的浏览器,不同的操作系统,分别介绍:

◇清理Windows的证书(适用IE、Chrome、Safari)


  对于使用 Windows 下的 IE 或 Chrome 或 Safari 浏览器,则需要执行如下步骤:
1. 运行 Windows 的证书管理器(到命令行执行certmgr.msc)。
2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4. 先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导,根据先导一步步的提示,把上述 CNNIC 证书导入到证书列表中。
7. 选中 CNNIC 证书,点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9. 最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。

注:上述操作仅对当前用户生效。如果你的 Windows 系统中有多个常用的用户帐号,要对每一个用户进行上述设置。

◇清理苹果 Mac OS X 的证书(适用于 Safari、Chrome)


  对于使用 Mac OS X 下的 Safari 或 Chrome 浏览器,则需要执行如下步骤:
请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到 CNNIC 的证书并双击,改为“永不信任”。

注:如果你的界面是洋文,其操作方式也八九不离十。俺就不再啰嗦了。

◇清理 Linux 的证书(适用于 Chrome、Safari)


  对于 Debian 或 Ubuntu 系统,以管理员权限进行如下操作:
方法1:
运行命令:dpkg-reconfigure ca-certificates 会出现一个图形界面,把 CNNIC 证书【不勾选】,并确认。
方法2:
编辑 /etc/ca-certificates.conf 文件,把 CNNIC 证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。

注:对于其它 Linux 发行版本,也有类似操作,俺就不再啰嗦了。

◇清理 Firefox 的证书


  不论是在哪个操作系统下,只要你用的是 Firefox 浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“选项” ,打开选项对话框
2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3. 在证书对话框中,切换到“证书机构”。
4. 里面的证书列表是按字母排序的。把 CNNIC 打头的都删除。

注:如果某个证书是 Firefox 自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。

◇清理 Opera 的证书


不论是在哪个操作系统下,只要你用的是 Opera 浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“首选项” ,打开首选项对话框
2. 切换到“高级”标签页,在左边选择“安全性”这项。
3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。
4. 找到 CNNIC 的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉
(注:俺是基于 Opera 10.10 进行操作。新版本的界面可能略有差异)

★如何确认门户已经清理干净?


  本文发出之后,过了5年,包括微软、Google、苹果在内的几大操作系统和浏览器厂商开始把 CNNIC 的根证书从默认的信任列表中清除。从那之后,连 CNNIC 自己的官网也不得不使用国外的证书。所以,本小节的下述内容就作废了(俺标注了删除线)。

  为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.cnnic.cn 记得用 HTTPS 协议哦。
  如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
  如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。


★可能的副作用


  有些国内网站已经开始使用 CNNIC 的证书,目前已经知道的有163邮箱(真鄙视网易)。但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。

★引申阅读


  另外列举一些相关的资料给大伙儿参考:
最最最严重安全警告 此文是 AutoProxy 的作者 WCM 亲自写的。09年就已经在网上广为流传。
CNNIC 我不信任你——从受信任的根证书里赶走 CNNIC 这篇文章也被多处转贴
noCNNIC 已经有热心网友搞了一个自动清除工具,俺还没空去试验。

俺博客上,和本文相关的帖子(需翻墙)
数字证书及 CA 的扫盲介绍
扫盲 HTTPS 和 SSL/TLS 协议(系列)
CNNIC 干过的那些破事儿
老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2010/02/remove-cnnic-cert.html

170 条评论

  1. 请问一下,最近菜鸟的我想省事,在Google reader里直接用https看一些GFWBLOG里的东西,想不到已经行不通,请问一下GFW是不是已经有技术对https加以屏蔽?

    回复删除
    回复
    1. 发现firefox 删除根CA证书不管用,启动后照样出来,而且还能起作用。

      删除
  2. 楼上的同学:
    俺用https的GoogleReader,看GFW Blog没啥问题嘛。
    貌似GFW尚无法搞定https

    回复删除
    回复
    1. 4. 先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。
      “这个页面”指向的链接现在失效了。

      删除
  3. 菜鸟我以为是没删CA造成的,现在删除后,还不能https访问,不知是电信的技术还是GFW的技术了。。。

    回复删除
  4. 使用的WIN7,选中3个证书后无“属性”选项。。。。

    回复删除
  5. 关于上面的问题,原来是WIN7下面不能同时能多个证书进行属性修改,只能一个一个来

    回复删除
  6. 博主,你的清楚之后验证效果的方法有重大缺陷。

    我在删除IE的CNNIC证书之后,访问你提供的那个网址https://www.enum.cn

    ,仍然可以打开

    然后我重看了certmgr。msc 发现CNNIC的证书又重新出现在信任列表之中。

    多次重复之后,我认为,只要用IE访问需要CNNIC证书的网站,就会在没有任何提示的情况下自动下载CNNIC证书。

    用火狐浏览器不会出现这种情况。

    另外我用IE登陆了网易邮箱,就是博主所说的那个使用CNNIC证书的邮箱,然后发现在信任列表中,神奇的,无声无息的加入了Entrust证书。

    所以,我认为清楚CNNIC及其走狗Entrust证书是一个长期的任务。最好能将这两个证书加入不信任列表,期待楼主提供方案。

    回复删除
  7. 我也是这样的
    不过FF没问题

    回复删除
  8. Chrome设置后好像还是不行,IE已经Ok了。

    我打开Chrome访问这个网址的属性,他提示我CNNIC ROOT,CNNIC SSL两个证书都无效了,但是www.enum.cn的证书竟然Ok

    回复删除
  9. 我已经安装证书并设置禁用了。。。但是进https://torproject.org
    没有任何提示额。。。
    按理说禁用了Entrust的证书之后访问torproject.org应该会有提示的吧?
    求解。。。

    回复删除
  10. 补充一下,https://tns-fsverify.cnnic.cn/

    https://www.enum.cn/ 访问这两个网站的时候会提示
    该页面无法显示。

    回复删除
  11. 楼上的网友:
    原先https://torproject.org使用的是Entrust.net的证书,后来已经改用Equifax的证书。
    所以你禁用Entrust.net对打开https://torproject.org没有影响

    回复删除
  12. 该做的我都做了,但无论用什么浏览器上,我都能上到https://www.enum.cn/ 这个地址。什么问题? 我用的win7,在国外上网对这个没影响吧? 我的证书列表里有3个Entrust.net的证书,都禁用了都还是没用?

    回复删除
  13. 楼上的同学:
    除了Entrust.net的证书,是不是也禁用了CNNIC的root证书?
    是不是在windows系统的证书管理器里面对其禁用的?

    回复删除
  14. 在禁用之前https://www.enum.cn/可以正常上,但禁用了之后~上没有出现证书有问题的报告~而是直接“Internet Explorer 无法显示该页面”这是怎么回事?

    回复删除
  15. 楼上的同学:
    出现这个现象可能和你的IE设置有关。你可以换个非IE内核的浏览器作个对比。

    回复删除
  16. 请问楼上的网友,你的Chrome是在什么系统下的?

    回复删除
  17. 关于CNNIC证书自动复活的问题可以这么解决 在证书管理旗下把这几个CNNIC和Entrust的证书拖到左列的 不信任证书 里 这样再打开时 IE会发出警告

    回复删除
  18. 我今天打开cnnic rot常规选项卡发现证书信息是:该证书已被证实颁发机构吊销。但是有效期还存在,是:2007年4月16日到2027年4月16日。这是怎么回事?

    回复删除
  19. 这个证书有效期应该关系不大。
    重点是确保你的浏览器在访问 https://www.enum.cn 网站时,会提示证书有问题。只要浏览器提示该网站证书有问题,就表明你已经把CNNIC的相关证书清理干净了。

    回复删除
  20. 我的火狐清干净了,天哪还要再清IE的和遨游的,哭死

    回复删除
  21. 我跟楼上那位一样,按你说的一字不差的操作了,但是仍能打开那个网站,没有任何影响。奇怪的是明明已列入不信任证书和停止证书目的了,怎么还能打开?天都快亮了,搞不定呀5555

    回复删除
  22. 查了一下,MS的根证书里还有CHINA上海的。

    Shanghai Electronic Certification Authority Co.
    Ltd. (SHECA) China

    UCA Global Root 4096 SHA1 Wednesday, December 30, 2037 4:00:00 PM

    各位是不是再搜索一下禁止与验证方法?

    还有,貌似https://www.enum.cn已经打不开了(TIMEOUT)

    回复删除
  23. 验证了一下上楼的资料:

    上海的主页是: www.sheca.com,无论从墙内还是墙外,都不能用https访问。用普通http的话,从墙外无法访问,但从墙内就可以访问。

    cnnic的主页:www.enum.cn,从墙内可以用https与http访问。从墙外就只能用http访问了。

    回复删除
  24. 我是WIN7系统的,吧证书去除以后,没有出现 “会给出一个证书的安全警告。你只需添加一个安全例外即可”博主有办法解决吗?

    回复删除
  25. 楼上的同学:
    请问用的是啥浏览器?

    回复删除
  26. 博主 ,在Firefox的Entrust证书停用之后,twitter不能正常登陆,请问那是为什么呢

    回复删除
  27. 因为 twitter 用于存放图片的二级域名 *.twimg.com 从4月13日开始,启用了一个新证书。
    这个证书需要靠 EnTrust 的证书(具体是Entrust.net Secure Server Certification Authority)来信任。
    由于之前为了防范 CNNIC,很多网友把Entrust的证书都禁用了,所以导致 Twitter 的这个新证书无法被信任。
    解决办法是:先临时信任一下 Entrust.net Secure Server Certification Authority,然后刷新一下 Twitter 界面,这时候 Twitter 界面可以正常打开,并且 Twitter 需要的证书增加已经被加入到 Firefox 的证书列表中。然后再重新禁用 Entrust.net Secure Server Certification Authority。以后再上 Twitter 就不会报错了。

    回复删除
  28. 感谢您的提醒,已经按照文章中的提示做了

    回复删除
  29. 按照文中操作后,表示我是开代理,翻墙的时候上 www.enum.cn 就没提示,不翻墙上就有提示,这是怎么回事,我用chrome的说……

    回复删除
  30. 楼上的网友:
    请问用的是哪种翻墙方式?
    建议邮件交流比较方便。

    回复删除
  31. 很喜欢你的博客,谢谢

    回复删除
  32. 我清楚成功了哈哈~~谢谢

    回复删除
  33. 听君一席话,胜读十年书!

    回复删除
  34. 樓主吃飽了撐的,Mozilla自己都預置CNNIC為可信任的了,再搞什麽又能有多大效果呢?

    回复删除
    回复
    1. http://cn.engadget.com/2015/04/02/google-cinic-certificate-dust-up/
      脸疼不?

      删除
  35. to 楼上
    假如你想信任CNNIC的证书,俺没意见。

    但是很多网友压根就不信任CNNIC这个机构,本文是写给这些网友看的。

    至于信任CNNIC的证书,会有啥风险,俺在本文已经写得很清楚了。

    回复删除
  36. 在证书的右侧 有颁发给 和 颁发者
    不说导入的那3个,我的原本就有2行条目是Entrust开头的
    就是想问问Windows下那Entrust开头的应该3除么?

    回复删除
  37. to 楼上的网友
    Entrust的证书,后来貌似有调整过。新的证书好像不再信任 CNNIC 了。

    在禁用 Entrust 证书之前,可以先用 IE 测试一下 https://www.enum.cn 是否能打开?
    如果能打开,就禁掉;反之,则不必禁用。

    回复删除
  38. 救命啊!!

    我WIN7+Chrome哈都没操作过, 打开https://www.enum.cn时, https上有一"大斜红杠"啊怎么?!

    用goagent翻墙开twitter, 先一个"大斜红杠",硬进去后, 网页排版就一直有问题, 不正常.

    还是我要再把老流氓CNNIC重新下载后"添加信任",再设成"不信任", 然后再打https://www.enum.cn试下?

    求各位切齿党国独裁的仁人志士伸以援助之手, 助我连通于自由世界!

    回复删除
  39. to 之外
    如果你访问 twitter 有异常,可能跟你用的 GoAgent 有关。GoAgent 貌似对https 支持不够好。
    你尝试换一个翻墙工具(比如:自由门、无界),对比一下。

    另外,你到系统的“证书管理器”看一下,如果已经有CNNIC的证书,直接禁掉,无需另外下载。

    回复删除
  40. 谢谢 编程随想!

    我系统“证书管理器”在"受信任的根证书颁发机构"里仅有CNNIC ROOT(奇怪)直接禁掉会不会影响我网银安全使用啊? 我都是用chrome连自由世界, 而IE或银行客户端网银转汇款项. 请问改后有影响吗?

    另, 看上面朋友们说, 干掉CNNIC后, 用IE再开页面就又重新回到"信任证书"里面了, 除非不用IE了以后?

    回复删除
  41. to 之外
    IE 和 Chrome 是用的 Windows 系统的证书,而 Firefox 是自带证书(跟 Windows 的无关)。
    如果担心禁掉 CNNIC 会影响网银,你可以用 Firefox 来翻墙。然后把 Firefox 的 CNNIC 证书禁用。

    另外,你提到说:“用IE再开页面就又重新回到"信任证书"里面了”
    俺貌似没有碰到此种现象。

    回复删除
  42. 为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.enum.cn 记得用https协议哦。
      如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)

    我的操作系统是windows xp,使用的是IE8浏览器,用自由门fg727x访问你说的这个验证网站时,显示如下:

    Internet Explorer 无法显示该网页

    您可以尝试以下操作:
    您可能已经连接到 Internet,但您可能希望尝试重新连接到 Internet。

    重新键入地址。

    返回到上一页。

    最可能的原因是:
    •未连接到 Internet。
    •该网站遇到了问题。
    •在地址中可能存在键入错误。

    更多信息

    ====================
    请问我的门户清理干净了?

    回复删除
  43. 为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.enum.cn 记得用https协议哦。
      如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)


    今天没有使用代理,访问这个网站浏览器没有报告该网站的证书有问题,直接就打开了。

    回复删除
  44. TO 楼上的网友
    之前你用自由门,打不开 https://www.enum.cn,可能是自由门没设置好。这个网站在墙内,其实无须翻墙即可访问。

    如果你打开这个网站,浏览器没有弹出警告,说明你的 CNNIC 证书没有清理干净。

    回复删除
  45. 有这么一回事~~ 我用chrome打开 https://www.cnnic.com 居然说
    此网站已经经过 GoAgent CA 验证,我之前已经按你所说的去做,而且打开网站也是显示警告的, 现在居然显示正常的了~~~

    回复删除
  46. TO BBC
    你再试试看 https://www.cnnic.cn/ 看症状如何?

    回复删除
  47. https://www.cnnic.cn/ 和 https://www.cnnic.cn/ 都是什么性质的,一样那么邪恶的么?

    回复删除
  48. 我打开 https://www.cnnic.cn/ 该服务器的安全证书已吊销!
    您尝试访问 www.cnnic.cn,但服务器出示的证书已被其颁发者吊销。这表明绝对不应该信任此服务器出示的安全凭据。您可能正在与攻击者进行通信。您应该停止操作。
    https://www.cnnic.com/ 和 https://www.cnnic.cn/ 都是什么性质的,一样那么邪恶的么?
    我把https://www.cnnic.com 的证书都禁用了,goagent ca居然信任它的,我昨天也把它禁用了~~~~所以打开
    https://www.cnnic.com/ 一样显示警告了

    回复删除
  49. TO BBC
    https://www.cnnic.com/ 俺不太清楚。
    https://www.cnnic.cn/ 就是老流氓 CNNIC 的网站。
    如果你访问 https://www.cnnic.cn/ 显示证书无效,那应该就是门户清理干净了。

    回复删除
  50. 我现在关掉goagent是打不开 https://www.cnnic.cn了
    但打开goagent翻墙的话 https://www.cnnic.cn又能正常打开

    回复删除
  51. TO 章韦德
    这是因为 goagent 并没有真正支持对 HTTPS 的代理。
    如果你直接访问 https://www.cnnic.cn 浏览器有警告,就说明你已经把门户清理干净了。

    回复删除
  52. 照着LZ的指导进行操作,之前禁用了,但是还是能够打开https://www.cnnic.cn,颇感郁闷。

    也遇到一次禁用之后,又有效的,可能是我属性没有点击应用/确定造成的吧。。
    因为后来就没有再出现过。。

    虽然显示CNNIC的证书被禁用,但是还是能够打开https://www.cnnic.cn,非常不爽;把chrome关掉,重新打开,不翻墙的时候访问它,显示:
    服务器证书无效
    您试图访问 www.cnnic.cn,但服务器提供的证书无效。


    感谢LZ辛勤的普及知识,好人一生平安。。。。

    回复删除
  53. TO 楼上的网友
    如果不翻墙的情况下,访问 https://www.cnnic.cn 显示证书无效,说明你已经把 CNNIC 证书清理干净了。

    如果在翻墙的时候,可以正常打开 https://www.cnnic.cn 请问你是不是用 GoAgent 翻墙?
    GoAgent 不能原生支持 HTTPS,所以会出现上述假象。

    回复删除
  54. 各位解惑我有一个cnnicroot和两个entrust证书,,如何将他们导入不受信任的证书呢?是不是要找到他们文件存储区域,但我找不到

    回复删除
  55. TO 彭帝一
    俺这篇博文中,介绍了如何禁用 Windows 上的证书。
    请看:
    ◇清理Windows的证书(适用IE、Chrome、Safari)

    回复删除
  56. 请问楼主,win7里面的证书列表里有个China Trust Network,颁发者也是同名,性质和CNNIC一样吗?thanks

    回复删除
    回复
    1. 这个证书貌似跟“天威诚信”有关。
      你是不是装过什么网银或网络支付相关的软件?

      为了保险起见,你可以先禁用该证书,然后看看是否有啥不良反应。
      如果没啥影响,就让它一直禁用着。

      删除
    2. 天威诚信是支付宝支付盾的开发公司,这个公司是美国铁壳的合作伙伴。

      删除
  57. 再次见到了中间人攻击……这次是github

    回复删除
    回复
    1. HTTPS 协议本身还是很成熟的,所以,朝廷御用的那帮技术人员自然会想到用“中间人攻击”
      今后,CA 证书的安全问题,应该会更加突出。

      删除
  58. 文中给出的测试用网站已经无法连接,建议改成这个https://tns-fsverify.cnnic.cn/

    回复删除
    回复
    1. 文中给出的测试网址 https://www.cnnic.cn/
      俺测试过,应该还可以用

      删除
  59. 如果根列表中没有这个证书,我认为不应该先导入。
    另外,在我的Win7机器中,CNNIC证书是在‘第三方根证书’条目下。

    回复删除
    回复
    1. 如果系统中没有 CNNIC 证书,那只能说明系统尚未被污染。不能保证今后永远没有。
      先导入再禁用,是为了避免今后被污染。

      删除
  60. 纠正:
    Firefox部分的“证书结构”,应为「证书机构」

    回复删除
    回复
    1. TO Hugo Chan
      多谢指出本文的笔误 :)
      已经更正

      删除
  61. 方法不管用啊,在Win8中,Chrome浏览器,成功Disable 那些证书的purpose.也导入了Untrust列表,但还是能正常访问:
    https://www.cnnic.cn/

    回复删除
    回复
    1. 此评论已被作者删除。

      删除
    2. 俺当初写这篇博文的时候,Win8 还没推出。
      俺目前手头上没有 Win8 的环境,没法测试验证。

      删除
    3. 这个方法管用,在win8 pro x64 环境下。
      想问博主一个问题,就是在屏蔽掉CNNIC的证书之后,使用chrome访问一些使用cnnic证书的网站时会提示证书无效,例如网易的163邮箱和国内的暴雪战网。如何在chrome里添加特定的地址例外呢?我找了好久都没找到添加例外的地方。。。

      删除
    4. TO 3单元的网友
      点地址栏的那个无效证书的标志,然后点“证书信息”,会弹出该无效证书的对话框。
      然后选“详细信息”标签页,下面有“复制到文件”的按钮。
      就可以把证书保存到本地。

      然后到 Chrome 的 设置 => 高级设置 => 管理证书
      然后选"受信任的根证书颁发机构",把刚才保存的证书导入

      顺便说一下:
      Firefox 相比 Chrome,添加证书例外的操作简单得多。

      删除
  62. 经测验 我禁用win8中的证书有cnnic root和entrust.net的两个一共三个 而且我用ie10打开https://www.cnnic.cn/提示此网站的证书有问题 请问博主这样正确吗

    回复删除
    回复
    1. 如果你用 IE 访问 CNNIC 的网站已经有证书警告提示,那说明你已经清理掉了 Windows 系统里的 CNNIC 证书。

      提醒一下:
      假如今后你用 Firefox 上网,还得再清除一下 Firefox 内置的 CNNIC 证书。
      因为 Firefox 使用自己的一套证书系统,没有用 Windows 的。

      删除
  63. 话说推荐大家下载一个chrome扩展...
    名字叫wot?应该是这个。
    然后,访问大部分网站的时候,会提示是否受信任!
    另外想问一下...
    我看了一下不受信任的证书= =里面竟然又谷歌...于是我把他直接删除了。
    另外里面还有一些不受信任的证书,我不能确定哪些应该删除....
    求解....
    话说怎么发图片= =
    我有截图

    回复删除
    回复
    1. 俺博客的留言,支持嵌入图片。
      但是你需要把图片先上传到某个地方,然后把图片的 URL 嵌入到留言里,图片语法如下:
      [img]图片的网址[/img]

      删除
  64. 按照操作指示一步步把CNNIC禁用并且也导入为不信任证书了,用IE访问https://www.cnnic.cn显示证书错误,说明配置正确了,但是用Chrome通过GoAgent访问却显示证书正确,查看详细信息,www.cnnic.cn被GoAgent CA信任了,这怎么回事?

    回复删除
    回复
    1. GoAgent 没有原生支持 HTTPS,所以你通过 GoAgent 去访问 https://www.cnnic.cn 会被误导。
      建议直接用浏览器访问 https://www.cnnic.cn
      如果要用翻墙代理,不要用 GoAgent,改用其它的代理软件

      删除
  65. 一:又有China Internet Network Information Center EV Certificates Root这个证书冒出来了

    二:网易邮箱这个真还没注意,一试果不其然,亏我还用了这么长时间,赶紧撤换别家的邮箱。

    回复删除
    回复
    1. 网易用的不是cnnic的证书啊!,不过还是用Gmail好,毕竟是翻墙运动员.

      删除
    2. 国内邮箱都会有安全问题,不光是网易。
      因为朝廷可以监控国内的邮件服务器(监控每个邮箱收发的信件)。
      如果你的往来邮件中包含政治敏感内容,建议不要用国内邮箱。

      删除
  66. 想问问博主,有没有测试过Android 4.0系统下如何彻底删除CNNIC的证书?
    目前似乎只能Disable,不知道如何在/system/etc/security/cacerts下筛选出这个文件并彻底删除?

    回复删除
    回复
    1. TO Velaciela Zhu
      如果你已禁用,就已经达到目的了,不一定要彻底删除。
      为了保险起见,用自己的浏览器访问 https://www.cnnic.cn/
      只要出现“无效证书”的警告提示,就说明门户清理干净了

      删除
  67. 楼主啊,确定只有这三个吗?

    火狐19.0这样做似乎已经没用了啊,自动被加回,打开cnnic正常的不得了。ie上是解决了。

    回复删除
    回复
    1. 火狐内置证书,高级设置里取消信任即可。

      删除
    2. Firefox 的内置证书被删除后,只是证书的信任关系被清除,证书还是在列表中的。
      如果不放心,可以选中该证书,点“编辑信任”按钮,看看该证书的信任关系是否还在。

      删除
  68. 學習了這個帖子後,我現在最關心的是,我今天訪問博主的頁面,都是用我的用戶名跟的帖,請問愽主,專制獨裁的GCD可以用我的用戶名、以及我登錄BLOGGER的時間,追蹤到我在牆內的IP嗎?如果能追蹤的話,我剛剛寫了一點東西的BLOGGER,是不是就沒法再用了。唉,只有感嘅。

    回复删除
    回复
    1. TO Ys Yb
      如果你用多重代理的方式翻墙,可以从网络层面避免你的公网 IP 泄漏。
      也就是说,即使 Blogger 跟踪记录你的 IP,也无法最终到你的真实公网 IP

      当然,其它层面的防范也要注意。
      具体请看俺的系列博文《[url=http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]如何隐藏你的踪迹,避免跨省追捕[/url]》

      删除
  69. “停用这个证书的所有目的”这个选不上啊。。这个如何破??请看 https://plus.google.com/u/0/100075712147512348166/posts/FnBV2VxHueR

    回复删除
  70. CCNIC证书有进到信任证书里面了。而且不能禁用所有目的。。。如何破?

    https://plus.google.com/u/0/100075712147512348166/posts/FnBV2VxHueR

    回复删除
    回复
    1. 可能的话,不要发同一内容的帖子。

      从你的截图来看,可能是权限不够。

      删除
    2. 五美分拿好,继续到别的地方喷粪,帮你的美爹擦屁股。

      删除
    3. TO David Chen
      请问你这个 Windows 系统使用的是什么用户组的用户?
      俺的观点和 Hugo Chan 类似——有可能是用户权限不够。

      删除
  71. 分享一下ubuntu系统chrome证书的清除: 因为我按照博主提供的方法,清楚对应证书后,访问https://www.cnnic.cn/居然是正常的....
    不过我尝试着如下方法居然成功了:chrome设置->搜索ssl->管理证书-> 直接ctrl+F搜索cnnic,然后鼠标选中,点击下面菜单的编辑,在出现的对话框去掉所有信任勾选. 然后在访问https://www.cnnic.cn/.... 访问不了了...哈哈

    回复删除
    回复
    1. TO 我是谁
      多谢补充 :)
      这篇博文写于 2010年春节。
      当时的 Chrome 跟如今的 Chrome 差别很大。

      不管用哪种方式清理门户,最终要记得访问一下老流氓 CNNIC 自己的 HTTPS 主页,
      只要浏览器有警告,就说明清理干净了

      删除
  72. 如果你之前在火狐打开过https://www.cnnic.cn/,按博主的操作完后,https://www.cnnic.cn/仍然可以打开,其实那是缓存在起作用,只要在“管理所有历史”-右键点击www.cnnic.cn,选“清除此站点信息”,之后再打开https://www.cnnic.cn/就打不开了。

    回复删除
  73. 用最新的Firefox 24.0 for Android 测试 https://tns-fsverify.cnnic.cn
    可以连接,说明Firefox 信任了CNNIC证书,但是没有发现如何禁用证书的设置界面。
    而Android版的Chrome 30.0.1599.82和Dolphin 10.1.0则显示证书不可靠的警告。

    回复删除
    回复
    1. TO 75楼的网友
      到 Firefox 的选项设置界面找找看。

      删除
  74. 上网看到了这个,博主好像没有提到啊
    “警告,CNNIC拿到了新的根证书(不同于 CNNIC Root
    名称是 China Internet Network Information Center EV Certificates Root
    大多数系统可能还未升级所以没有,可以到以下地址下载该证书
    然后将其导入到『运行 – certmgr.msc – 不信任的证书 – 证书』里!
    http://www.cnnic.net.cn/jczyfw/fwqzs/fwqzsxzzx/201209/W020120921571461274919.cer »“

    回复删除
    回复
    1. TO paulus
      多谢补充 :)
      你提到的这个新证书,应该还没被国外重要机构(比如:微软、Mozilla)信任,所以暂时影响不大。
      如果这个新证书被重要机构信任了,俺会再发一篇博文提醒大伙儿警惕 CNNIC 这个流氓。

      删除
    2. 这个证书已经在Win7中发现

      删除
    3. To: 编程随想,China Internet Network Information Center EV Certificates Root 已经被Moliza收录到Firefox里, Ubuntu 12.04也是, 建议Ubuntu和Firefox用户检查一下并取消信任。

      删除
  75. 测试XP系统、IE浏览器时,一度困惑在完全按照博主的操作步骤做,但仍无法清除CNNIC证书。
    后发现原因是:在禁用和导入不信任证书之前,需进入控制面板----添加或删除程序-------添加或删除windows组件,找出更新根证书目录,把那钩去掉,点击下一步,彻底把CNNIC自动植入的通道给封掉,否则你前脚删,后脚丫又钻进来安家。
    win8.1按照博主这一类的操作方法,表示没问题

    回复删除
    回复
    1. TO POLA
      多谢分享移除 CNNIC 证书的经验 :)

      删除
    2. 可不可以用英文刪除方式,中文這選擇看不明

      删除
  76. 我在我的 Mac 中发现了 CNNIC,China Internet Network Information Center EV Certificates Root,UCA Root 三个根证书,都是 CN 颁发的。我把他们都禁用了。

    回复删除
  77. 12306的srca证书默认启用了所有目的,博主是不是把这个东东也封杀一下

    回复删除
    回复
    1. TO 79楼的网友
      关于是否删除这个证书,请看俺在 81楼 的留言

      删除
  78. 网易邮箱现在使用的是GeoTrust SSL CA证书

    回复删除
  79. 博主,现在国内颁发的证书也很多了。如这篇:天朝颁发的证书一览表:http://www.v2ex.com/t/58891
    里面提到了CFCA,China Trust Network,iTruschina,UCA Global Root,ROOTCA,WoSign,Alipay Trust NetWork(这个好像没用了,Alipay现在用VeriSign的证书),这些证书要不要都干掉?

    回复删除
    回复
    1. TO 12345 和前面几楼的网友
      俺这篇博文写于3年前。后来天朝的某些机构又发布了一些 CA证书。
      从危害性来看
      这些 CA证书的危害 不如【CNNIC 的根证书】
      因为【CNNIC 的根证书】内置到了 Firefox的证书列表 和 Windows 的证书列表。
      而 IE 和 Chrome 默认用的是 Windows 的证书列表。
      如此一来,三大浏览器默认都会启用 CNNIC 的根证书,这是其最大的危险之处。

      国内后来搞出来的其它根证书,应该都不是 Firefox 和 Windows 的默认证书。
      也就是说:默认情况下不会被启用。

      如果你的系统因为安装了某些软件,可能会把某些国产的证书引入。
      假如你对安全性的要求较高,可以先把这些国产的证书禁用。

      删除
  80. 在证书管理器中双击某证书(随便一个都行)选择"详细信息"再点击"颁发者"总会出现这样的显示CN = WoSign Class 4 EV Pro Server CA,前面有个CN的总不让人放心,害怕也像CNNIC ROOT、CNNIC SSL那样监控并进行中间人攻击,会有危险吗?

    回复删除
    回复
    1. 那个是CommonName的简称

      删除
    2. TO 1单元的网友
      多谢替俺回答网友提问 :)

      删除
  81. 挂了GAE代理还是可以打开老流氓的https://www.cnnic.cn,有问题吗?

    回复删除
    回复
    1. 对啊我的也是。。一开始还以为各种情况呢。。

      删除
  82. 我海淘的笔记本 预装WIN8 没有CNNIC的证书。

    回复删除
  83. 清理Firefox(中文版火狐32.0.2)的证书时发现不斤有CNNIC打头的,还有个China Internet Network Information Center,也该一并删除。编程兄更新一下吧。博友新安装firefox时建议下去Mozilla官网下载,不要下中国版的火狐。官网地址:https://www.mozilla.org/en-US/firefox/

    回复删除
    回复
    1. 天朝颁发的证书一览表 http://www.v2ex.com/t/58891

      删除
    2. 天朝相关的CA证书列表和去除方法(不止是CNNIC,还有很多,更新很及时)
      https://github.com/chengr28/AntiChinaCerts

      删除
  84. 文章末的·最最最严重安全警告·文章链接已经失效https://autoproxy.org/en/node/66

    回复删除
  85. 博主好人,已经干掉cnnic root证书了

    回复删除
  86. 在firefox 35.0.1上删除cnnic root,并不能将其删除.重新打开信任设置后发现cnnic root还在,只是将其信任设置的三个选项给勾掉了.
    更奇怪的是,如果这时访问
    https://cnnic.cn
    firefox会block
    如果访问https://www.cnnic.cn
    firefox不会block,而是会正常显示,而且有时还会自动添加cnnic ssl 这个条目.
    相反在IE下会block both https://www.cnnic.cn and https://cnnic.cn

    请大家小心.如果有谁知道技术细节请指点,谢谢.

    回复删除
    回复
    1. 刚测试了下,没有出现你说的情况。两个URL都会提示风险。

      删除
    2. 火狐删除证书等于设置信任用途为空。
      不过最新版(32)可能确实存在这个情况,就是删除了证书之后,访问网站自动又增加回证书了。
      是这样的,火狐只能限制顶级CA。
      但CNNIC SSL不是顶级CA,而是在其他一个老牌顶级CA下。
      你又不方便禁掉那个顶级CA,所以你访问的时候,火狐一看网站给的证书CNNIC SSL声明我是那个CA发的,火狐一查果然没错,就又把CNNIC SSL加回去了、、
      CHROME和IE不存在这个问题。

      删除
    3. 2单元你在胡说些什么?

      首先 Firefox 目前最新版为 35.0.1。

      其次 cnnic.cn 这个站点的信任链是 cnnic root → cnnic ssl → cnnic.cn,哪里来的老牌顶级CA?cnnic root 怎么就不能被禁用了?

      另外 to 楼主:

      Firefox 内置的还有个 China Internet Network Information Center 的证书,看名字就知道不是什么好货。

      删除
    4. 请问88楼1单元,你的firefox是什么版本?
      请问88楼2单元,cnnic ssl是在哪个老牌顶级ca下?我查了ver 35.0.1下的entrust,没有cnnic ssl.

      删除
    5. 我是1单元,版本是35.0.1,和你的一样。刚才的评论被吞了,等恢复,2单元纯属瞎扯,哪来的老牌CA?

      删除
    6. 此评论已被作者删除。

      删除
  87. 反馈一下,在android手机上也看到了CNNIC root凭证,果断删除了。

    回复删除
    回复
    1. 在这里看到英文帖子讨论cnnic的证书问题Questioning the chain of trust: investigations into the root certificates on mobile devices: https://bluebox.com/technical/questioning-the-chain-of-trust-investigations-into-the-root-certificates-on-mobile-devices/#Roots-of-Trust-in-Mobile-Android-Analysis

      删除
  88. CNNIC终于露馅了~

    回复删除
  89. CNNIC发行的中级CA发行了Google的假证书【http://www.solidot.org/story?sid=43434】【http://googleonlinesecurity.blogspot.de/2015/03/maintaining-digital-certificate-security.html】
    CNNIC的一个中级CA被发现发行了Google域名的假证书,该中级CA证书已被Chrome和Mozilla Firefox撤销。Google官方博客称,3月20日他们发现埃及的中级CA MCS Holdings发行了多个Google域名的假证书,而MCS Holdings的中级证书则来自中国的CNNIC,CNNIC作为根CA被几乎所有操作系统和浏览器信任。Google 联系了CNNIC,CNNIC在3月22日回应称,MCS本应该只向它注册的域名发行证书。在此案例中,CNNIC向MCS发行了一个无约束的中级证书,MCS将其安装在一个防火墙设备上充当中间人代理,用于执行加密连接拦截(SSL MITM)。企业出于法律或安全理由需要拦截雇员的加密连接,但必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证书。

    回复删除
    回复
    1. 这个不好拿来黑党国吧,埃及给美国当了多少年的小弟了,没那么容易倒向朝廷的。估计就是CNNIC卖证书的时候是不管对方拿来干什么的。

      删除
    2. to 匿名
      也许不是故意而为之。但还是谨慎为上。
      附Bugzilla论坛对CNNIC的看法https://bugzilla.mozilla.org/show_bug.cgi?id=542689

      删除
    3. 谨慎那是必须的啊,我只是说这个事应该不是朝廷做的,不过这也再次印证了CNNIC的节操,他家的证书估计是给钱就卖的,就算不是被朝廷盯上的敏感人士,普通人也会受害。

      删除
    4. 这个匿名该排到4单元了2015年3月24日 下午3:31:00

      回1单元的匿名。那是埃及的一间公司而不是埃及政府,说不准是党国谍报系统的外壳。真埃及人开的公司怎么不从埃及政府那里领证书?

      删除
    5. 楼上朋友,也许是CNNIC的要价便宜,证书卖了之后也不管他们拿去怎么用?唉,再说下去感觉就成了给朝廷洗地了,CNNIC毫无疑问是不应被信任的。

      删除
  90. 这个中共老流氓豢养的兲朝互联网流氓最近又出来祸害无辜用户了

    回复删除
  91. 找到这个文件,右键-发送到-桌面快捷方式,每次开机后(或登陆Gmail之前)运行一下,查看证书情况。
    C:\Windows\System32\certmgr.msc

    可以经常检查一下以下这些网站,如果出现证书警告,则安全。
    如果能打开任何一个网站,则意味着你的系统有受到“中间人攻击”的危险。
    https://cnnic.cn/
    https://www.cnnic.cn/
    https://www.cnnic.net.cn/
    https://evdemo.cnnic.cn/
    https://space.cnnic.cn/outer/customerAction!init.action
    https://www1.cnnic.cn/

    回复删除
    回复
    1. 证书是保证会话安全的。
      我有个问题,假如我只想匿名看某网站的内容而不留言什么的。怎么忽略证书警告,或者怎么在忽略证书后不会留下后患。

      删除
  92. 弱弱地問下,博主難不成把這幾個系統和瀏覽器都安裝了一次來試驗,不然怎麼知道具體設置步驟?

    回复删除
  93. 最近两天又看到CNNIC证书的新闻了,检查了Firefox内的证书,赫然发现一个新证书叫China Internet Network Infomation Center,同时也有CNNIC原来的证书。我觉得两者是一样的性质。

    回复删除
  94. http://googleonlinesecurity.blogspot.com.au/2015/03/maintaining-digital-certificate-security.html

    这篇文章该重新贴出来温习一下了 :-)

    回复删除
  95. https://kenengba.com/post/3336.html
    “可能吧”也参与声讨老流氓的恶行了 ,大伙儿围观一下。
    感谢随想早期的科普!

    回复删除
  96. 苹果继续信任CNNIC的根证书

    在CNNIC被发现签发了一个允许签发假的Google域名证书的中级CA后,Google和Mozilla先后宣布不再信任CNNIC的根证书。为了减少对用户的影响,Google和Mozilla仍然信任现有的CNNIC证书,但不再接受其新签发的证书。CNNIC的主管单位是中国互联网最高监管机构网信办。苹果本周三向 iOS和OSX释出了一个重大安全更新,但CNNIC的根证书仍然在苹果的信任列表中。对于苹果的iOS设备,用户无法像Linux和Windows那样手动删除根证书。苹果对于伪造证书一事至今没有发表公开声明,而微软则屏蔽了中级CA但没有吊销CNNIC根证书。

    回复删除
  97. tor自带的firefox浏览器,删除后再启动,证书又起作用了,删不掉啊

    回复删除
    回复
    1. 可以看xiaolan的教程《如何在Tor Browser中永久撤销对证书的信任?》
      https://xiaolan.me/how-to-remove-certs-from-torbrowser.html

      删除
  98. Firefox 40.0.3,资本主义版。
    证书已吊销,仍然存在访问 cnnic.cn 被阻止而 www.cnnic.cn 正常打开的问题

    回复删除
    回复
    1. 在火狐的独立证书管理里面,手动编辑信任,手动去掉“此证书可以用于鉴定网站”的勾勾。就可以了。
      具体方法是:
      右侧菜单>Options>Advanced>Certificates>View Certificates>Authorities
      找到CNNIC>CNNIC ROOT并选中
      点Edit Trust按钮
      把所有的勾都去掉。特别是This certificate can identify websites
      点OK

      千万别把这个证书删掉了。

      最后重启浏览器,以https访问cnnic.cn,出现警告。

      删除
  99. 我这条鱼已经搁浅在沙滩上晒干了

    回复删除
  100. Github那个页面没找到CNNIC证书的下载链接。

    回复删除
  101. 除了CNNIC的,还有哪些不可信任。列举有些给菜鸟呗。

    回复删除
  102. READ_IT.txt加密病毒是一种高风险的勒索病毒。此Windows PC上的威胁攻击加密所有文件和文件夹。这一招病毒是由网络罪犯旨在克服PC控制。更多信息请访问 http://www.howtocleanspywarecn.com/

    回复删除
  103. 按照您说的清除方法清除tor中的cnnic证书后,再次输入您给的那个网址后,还是能正常打开此网站,请问这是怎么回事呢?也就是从今天才开始这样的,就是tor更新到最新版以后出现的这种情况,能否麻烦您再介绍介绍,发生类似情况后,该从哪些方面入手分析,找到根源,谢谢。如果看到此贴,知道怎么解决的,麻烦大家都给介绍介绍,一并谢了。

    回复删除
  104. cnnic.cn 现在改了证书了,改成由DigiCert颁发的证书。

    回复删除
    回复
    1. 从良了,很好,很好!

      删除
    2. [url]https://www.zhihu.com/question/49291684[/url]

      删除
  105. wosign和StartCom应该取消信任吗?
    https://www.v2ex.com/t/303761

    回复删除
  106. 我想知道,网银安装在系统里的根证书安全吗?

    回复删除
  107. 先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。这个页面链接失效了,博主可否重新给个来链接?

    回复删除
    回复
    1. RevokeChinaCerts(废除中国证书):
      https://github.com/chengr28/RevokeChinaCerts

      删除