★CNNIC到底干了啥事?
从前面的帖子,大伙应该都看出来,CNNIC 这个老流氓可是坏事做尽啊。最近这段时间,CNNIC 不甘寂寞,又在 CA 领域,搞了点小动作。今天先来说一下,这个老流氓又坑蒙拐骗了哪些主?
◇Mozilla.org
可能某些IT圈外的同学会问,Mozilla是嘛玩意?简单地说,“Mozilla 和 Firefox 的关系”就好比“微软和 Windows 的关系”。因此,Firefox 自带哪些 CA 根证书,是由 Mozilla 组织决定滴。
话说2009年初那会儿,CNNIC 里面的某个员工(liu_yan@cinic.cn)到 Mozilla 网站提交了一个申请:要求将 CNNIC 加入 Mozilla 的 CA 列表。此申请经过几个月的讨论。到了2009年底,审批获得通过。至此,CNNIC 正式成为 Mozilla 的 CA 之一(请看“Mozilla官方的CA列表”)。懂洋文的同学,请自行到“这里”看详细的申请过程。
因此,从 Firefox 的3.6版本开始,其内置的诸多根证书中,将会包含 CNNIC 这个老流氓提供的根证书。
◇微软(Microsoft)
说实在的,俺不清楚老流氓 CNNIC 是如何忽悠微软,让微软把它也加入到 Windows 内置的 CA 列表中的。不过这已经不重要了。现在,老流氓已经把它脏兮兮的触角,伸到了微软那儿。列位看官如若不信,可以去看“微软的 CA 列表”。
今后,如果你安装了微软新的操作系统,多半其已经包含了 CNNIC 的根证书;即便你一直使用老版本的 Windows,也可能在自动升级了某个 Windows 补丁之后,把 CNNIC 的根证书带到你的电脑中。
◇Entrust.net
除了 Mozilla 和微软,还有一个组织也被 CNNIC 牵连了,那就是 Entrust ——国外一家比较老牌的 CA。正是由于该 CA 比较老牌,因此 Windows 系统(至少包括 Win2000 之后的版本)中以及 Firefox 中,都已经内置了它的根证书。
老流氓大概是花了些银子,于是该CA提供的根证书就信任了 CNNIC 制作的某个 SSL 证书(不明白证书间是如何信任的,请回顾一下俺扫盲帖中提到的“证书信任链”)。
到了2010年下半年,Entrust 大概也意识到 CNNIC 的名声太臭,就解除了跟 CNNIC 的信任关系。所以,如今【新的】Entrust 证书,已经不再信任 CNNIC 的 SSL 证书了。如果你的浏览器是新版本或者 Windows 系统更新过新的补丁,其内置的 Entrust 证书应该是安全的,不用清理了。如果你吃不准 Windows 系统或浏览器内置的 Entrust 证书是否安全,请根据本文后续章节“★如何确认门户已经清理干净”介绍的方法判断。
★这事儿对咱有啥影响?
那电脑中有了 CNNIC 的证书,会出现啥鸟事捏?俺大概说一下。
◇“中间人攻击”的风险
所谓的“中间人攻击”,洋文叫做“Man-In-The-Middle attack”,按首字母缩写成 MITM。
在证书导致的各种风险里面,“中间人攻击”的风险,是【最大】的(没有之一),也是最经常被提及滴。
俺在前面的帖子已经讲了 CA 证书对于 HTTPS 协议的重要性(可以防止攻击者伪造虚假网站)。既然老流氓 CNNIC 已经成为合法的 CA,那它就能堂而皇之地制作并发布 CA 证书。然后捏,再配合 GFW 进行【域名污染】。那 GFW 就可以轻松搞定任何网站的 HTTPS 加密传输。
(如果你不清楚“域名污染”是咋回事儿,可以看俺的扫盲教程——《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》)
可能有些小朋友心里会犯嘀咕:GFW 会有这么坏吗?俺想篡改鲁迅他老人家的一句话来回答:俺向来是不惮以最坏的恶意,来推测党国。GFW 和 CNNIC 作为党国的2条走狗,一起进行中间人攻击(一个负责在 DNS 上做手脚、另一个负责伪造 CA 证书),简直是“天生一对、黄金搭档”啊!
◇ActiveX 控件的风险
另外一个大伙儿不太关注的风险,是关于 ActiveX 控件的问题。前几年,很多恶意软件(包括流氓软件、木马)都是通过 IE 控件的技术,安装到大伙儿的电脑上。后来微软加强了对 ActiveX 控件的验证:在 IE 的默认设置下,对于【没有】数字签名的 ActiveX 控件,默认是拒绝安装滴;而对于有数字签名的控件,则会给出提示。
因此,老流氓 CNNIC 可以很轻松地给自己的 ActiveX 控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。
★如何清理门户?
其实网上关于如何去掉证书的操作指南,多如牛毛,所以俺就简单说一下,懒得再抓图了。
有些浏览器(IE、Chrome、Safari)使用的是操作系统的证书体系。这种情况下,你需要把 CNNIC 证书从操作系统的证书体系中去掉;还有些浏览器(比如:Firefox、Opera)是自己带了一套证书体系。你要进入该浏览器的配置界面,把不要的证书去除即可。
下面分不同的浏览器,不同的操作系统,分别介绍:
◇清理 Windows 的证书(适用IE、Chrome、Safari)
对于使用 Windows 下的 IE 或 Chrome 或 Safari 浏览器,则需要执行如下步骤:
1. 运行 Windows 的证书管理器(到命令行执行
certmgr.msc
)。2. 选中“受信任的根证书颁发机构”=>“证书”。
3. 查看右边的证书列表。如果里面已经有 CNNIC 的证书,直接跳到第7步。
4. 先翻墙到“这个页面”下载现成的 CNNIC 证书。要把证书从 7z 压缩包中解压出来(补充说明:“Google Code 网站”已在2016年1月关闭,此下载页面已【失效】)。
5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6. 出现一个导入向导,根据先导一步步的提示,把上述 CNNIC 证书导入到证书列表中。
7. 选中 CNNIC 证书,点右键。在右键菜单中点“属性”。
8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9. 最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。
(注:上述操作仅对当前用户生效。如果你的 Windows 系统中有多个常用的用户帐号,要对每一个用户进行上述设置)
◇清理苹果 Mac OS X 的证书(适用于 Safari、Chrome)
对于使用 Mac OS X 下的 Safari 或 Chrome 浏览器,则需要执行如下步骤:
请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到 CNNIC 的证书并双击,改为“永不信任”。
(注:如果你的界面是洋文,其操作方式也八九不离十。俺就不再啰嗦了)
◇清理 Linux 的证书(适用于 Chrome、Safari)
对于 Debian 或 Ubuntu 系统,以管理员权限进行如下操作:
方法1
运行命令:
dpkg-reconfigure ca-certificates
会出现一个图形界面,把 CNNIC 证书【不勾选】,并确认。方法2
编辑
/etc/ca-certificates.conf
文件,把 CNNIC 证书对应的行删除或注释掉。然后用命令 update-ca-certificates
使之生效。(注:对于其它 Linux 发行版本,也有类似操作,俺就不再啰嗦了)
◇清理 Firefox 的证书
不论是在哪个操作系统下,只要你用的是 Firefox 浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“选项” ,打开选项对话框
2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
3. 在证书对话框中,切换到“证书机构”。
4. 里面的证书列表是按字母排序的。把 CNNIC 打头的都删除。
(注:如果某个证书是 Firefox 自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。)
◇清理 Opera 的证书
不论是在哪个操作系统下,只要你用的是 Opera 浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:
1. 从菜单“工具”=>“首选项” ,打开首选项对话框
2. 切换到“高级”标签页,在左边选择“安全性”这项。
3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。
4. 找到 CNNIC 的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉
(注:俺是基于 Opera 10.10 进行操作。新版本的界面可能略有差异)
★如何确认门户已经清理干净?
【补充说明】
本文发出之后,过了5年,包括微软、Google、苹果在内的几大操作系统和浏览器厂商开始把 CNNIC 的根证书从默认的信任列表中清除。从那之后,连 CNNIC 自己的官网也不得不使用国外的证书。所以,本小节的下述内容就作废了(俺标注了
如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。
★可能的副作用
有些国内网站已经开始使用 CNNIC 的证书,目前已经知道的有163邮箱(真鄙视网易)。但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。
★引申阅读
另外列举一些相关的资料给大伙儿参考:
《最最最严重安全警告》
(此文是 AutoProxy 的作者 WCM 亲自写的。09年就已经在网上广为流传)
《CNNIC 我不信任你——从受信任的根证书里赶走 CNNIC》
(这篇文章也被多处转贴)
《noCNNIC》
(已经有热心网友在 Google Code 平台上搞了一个自动清除工具。补充说明:“Google Code 网站”已在2016年1月关闭,此项目已【失效】)
俺博客上,和本文相关的帖子(需翻墙):
《数字证书及 CA 的扫盲介绍》
《CNNIC 干过的那些破事儿》
《老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿》
《扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”》
《扫盲 HTTPS 和 SSL/TLS 协议》(系列)
请问一下,最近菜鸟的我想省事,在Google reader里直接用https看一些GFWBLOG里的东西,想不到已经行不通,请问一下GFW是不是已经有技术对https加以屏蔽?
回复删除发现firefox 删除根CA证书不管用,启动后照样出来,而且还能起作用。
删除楼上的同学:
回复删除俺用https的GoogleReader,看GFW Blog没啥问题嘛。
貌似GFW尚无法搞定https
4. 先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。
删除“这个页面”指向的链接现在失效了。
此评论已被作者删除。
删除菜鸟我以为是没删CA造成的,现在删除后,还不能https访问,不知是电信的技术还是GFW的技术了。。。
回复删除使用的WIN7,选中3个证书后无“属性”选项。。。。
回复删除关于上面的问题,原来是WIN7下面不能同时能多个证书进行属性修改,只能一个一个来
回复删除博主,你的清楚之后验证效果的方法有重大缺陷。
回复删除我在删除IE的CNNIC证书之后,访问你提供的那个网址https://www.enum.cn
,仍然可以打开
然后我重看了certmgr。msc 发现CNNIC的证书又重新出现在信任列表之中。
多次重复之后,我认为,只要用IE访问需要CNNIC证书的网站,就会在没有任何提示的情况下自动下载CNNIC证书。
用火狐浏览器不会出现这种情况。
另外我用IE登陆了网易邮箱,就是博主所说的那个使用CNNIC证书的邮箱,然后发现在信任列表中,神奇的,无声无息的加入了Entrust证书。
所以,我认为清楚CNNIC及其走狗Entrust证书是一个长期的任务。最好能将这两个证书加入不信任列表,期待楼主提供方案。
我也是这样的
回复删除不过FF没问题
Chrome设置后好像还是不行,IE已经Ok了。
回复删除我打开Chrome访问这个网址的属性,他提示我CNNIC ROOT,CNNIC SSL两个证书都无效了,但是www.enum.cn的证书竟然Ok
我已经安装证书并设置禁用了。。。但是进https://torproject.org
回复删除没有任何提示额。。。
按理说禁用了Entrust的证书之后访问torproject.org应该会有提示的吧?
求解。。。
补充一下,https://tns-fsverify.cnnic.cn/
回复删除https://www.enum.cn/ 访问这两个网站的时候会提示
该页面无法显示。
楼上的网友:
回复删除原先https://torproject.org使用的是Entrust.net的证书,后来已经改用Equifax的证书。
所以你禁用Entrust.net对打开https://torproject.org没有影响
该做的我都做了,但无论用什么浏览器上,我都能上到https://www.enum.cn/ 这个地址。什么问题? 我用的win7,在国外上网对这个没影响吧? 我的证书列表里有3个Entrust.net的证书,都禁用了都还是没用?
回复删除楼上的同学:
回复删除除了Entrust.net的证书,是不是也禁用了CNNIC的root证书?
是不是在windows系统的证书管理器里面对其禁用的?
在禁用之前https://www.enum.cn/可以正常上,但禁用了之后~上没有出现证书有问题的报告~而是直接“Internet Explorer 无法显示该页面”这是怎么回事?
回复删除楼上的同学:
回复删除出现这个现象可能和你的IE设置有关。你可以换个非IE内核的浏览器作个对比。
chrome如何清理?
回复删除请问楼上的网友,你的Chrome是在什么系统下的?
回复删除关于CNNIC证书自动复活的问题可以这么解决 在证书管理旗下把这几个CNNIC和Entrust的证书拖到左列的 不信任证书 里 这样再打开时 IE会发出警告
回复删除我今天打开cnnic rot常规选项卡发现证书信息是:该证书已被证实颁发机构吊销。但是有效期还存在,是:2007年4月16日到2027年4月16日。这是怎么回事?
回复删除这个证书有效期应该关系不大。
回复删除重点是确保你的浏览器在访问 https://www.enum.cn 网站时,会提示证书有问题。只要浏览器提示该网站证书有问题,就表明你已经把CNNIC的相关证书清理干净了。
我的火狐清干净了,天哪还要再清IE的和遨游的,哭死
回复删除我跟楼上那位一样,按你说的一字不差的操作了,但是仍能打开那个网站,没有任何影响。奇怪的是明明已列入不信任证书和停止证书目的了,怎么还能打开?天都快亮了,搞不定呀5555
回复删除查了一下,MS的根证书里还有CHINA上海的。
回复删除Shanghai Electronic Certification Authority Co.
Ltd. (SHECA) China
UCA Global Root 4096 SHA1 Wednesday, December 30, 2037 4:00:00 PM
各位是不是再搜索一下禁止与验证方法?
还有,貌似https://www.enum.cn已经打不开了(TIMEOUT)
验证了一下上楼的资料:
回复删除上海的主页是: www.sheca.com,无论从墙内还是墙外,都不能用https访问。用普通http的话,从墙外无法访问,但从墙内就可以访问。
cnnic的主页:www.enum.cn,从墙内可以用https与http访问。从墙外就只能用http访问了。
我是WIN7系统的,吧证书去除以后,没有出现 “会给出一个证书的安全警告。你只需添加一个安全例外即可”博主有办法解决吗?
回复删除楼上的同学:
回复删除请问用的是啥浏览器?
博主 ,在Firefox的Entrust证书停用之后,twitter不能正常登陆,请问那是为什么呢
回复删除因为 twitter 用于存放图片的二级域名 *.twimg.com 从4月13日开始,启用了一个新证书。
回复删除这个证书需要靠 EnTrust 的证书(具体是Entrust.net Secure Server Certification Authority)来信任。
由于之前为了防范 CNNIC,很多网友把Entrust的证书都禁用了,所以导致 Twitter 的这个新证书无法被信任。
解决办法是:先临时信任一下 Entrust.net Secure Server Certification Authority,然后刷新一下 Twitter 界面,这时候 Twitter 界面可以正常打开,并且 Twitter 需要的证书增加已经被加入到 Firefox 的证书列表中。然后再重新禁用 Entrust.net Secure Server Certification Authority。以后再上 Twitter 就不会报错了。
感谢您的提醒,已经按照文章中的提示做了
回复删除按照文中操作后,表示我是开代理,翻墙的时候上 www.enum.cn 就没提示,不翻墙上就有提示,这是怎么回事,我用chrome的说……
回复删除楼上的网友:
回复删除请问用的是哪种翻墙方式?
建议邮件交流比较方便。
很喜欢你的博客,谢谢
回复删除我清楚成功了哈哈~~谢谢
回复删除听君一席话,胜读十年书!
回复删除樓主吃飽了撐的,Mozilla自己都預置CNNIC為可信任的了,再搞什麽又能有多大效果呢?
回复删除http://cn.engadget.com/2015/04/02/google-cinic-certificate-dust-up/
删除脸疼不?
to 楼上
回复删除假如你想信任CNNIC的证书,俺没意见。
但是很多网友压根就不信任CNNIC这个机构,本文是写给这些网友看的。
至于信任CNNIC的证书,会有啥风险,俺在本文已经写得很清楚了。
应该有效
回复删除在证书的右侧 有颁发给 和 颁发者
回复删除不说导入的那3个,我的原本就有2行条目是Entrust开头的
就是想问问Windows下那Entrust开头的应该3除么?
to 楼上的网友
回复删除Entrust的证书,后来貌似有调整过。新的证书好像不再信任 CNNIC 了。
在禁用 Entrust 证书之前,可以先用 IE 测试一下 https://www.enum.cn 是否能打开?
如果能打开,就禁掉;反之,则不必禁用。
救命啊!!
回复删除我WIN7+Chrome哈都没操作过, 打开https://www.enum.cn时, https上有一"大斜红杠"啊怎么?!
用goagent翻墙开twitter, 先一个"大斜红杠",硬进去后, 网页排版就一直有问题, 不正常.
还是我要再把老流氓CNNIC重新下载后"添加信任",再设成"不信任", 然后再打https://www.enum.cn试下?
求各位切齿党国独裁的仁人志士伸以援助之手, 助我连通于自由世界!
to 之外
回复删除如果你访问 twitter 有异常,可能跟你用的 GoAgent 有关。GoAgent 貌似对https 支持不够好。
你尝试换一个翻墙工具(比如:自由门、无界),对比一下。
另外,你到系统的“证书管理器”看一下,如果已经有CNNIC的证书,直接禁掉,无需另外下载。
谢谢 编程随想!
回复删除我系统“证书管理器”在"受信任的根证书颁发机构"里仅有CNNIC ROOT(奇怪)直接禁掉会不会影响我网银安全使用啊? 我都是用chrome连自由世界, 而IE或银行客户端网银转汇款项. 请问改后有影响吗?
另, 看上面朋友们说, 干掉CNNIC后, 用IE再开页面就又重新回到"信任证书"里面了, 除非不用IE了以后?
to 之外
回复删除IE 和 Chrome 是用的 Windows 系统的证书,而 Firefox 是自带证书(跟 Windows 的无关)。
如果担心禁掉 CNNIC 会影响网银,你可以用 Firefox 来翻墙。然后把 Firefox 的 CNNIC 证书禁用。
另外,你提到说:“用IE再开页面就又重新回到"信任证书"里面了”
俺貌似没有碰到此种现象。
为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.enum.cn 记得用https协议哦。
回复删除如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
我的操作系统是windows xp,使用的是IE8浏览器,用自由门fg727x访问你说的这个验证网站时,显示如下:
Internet Explorer 无法显示该网页
您可以尝试以下操作:
您可能已经连接到 Internet,但您可能希望尝试重新连接到 Internet。
重新键入地址。
返回到上一页。
最可能的原因是:
•未连接到 Internet。
•该网站遇到了问题。
•在地址中可能存在键入错误。
更多信息
====================
请问我的门户清理干净了?
为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.enum.cn 记得用https协议哦。
回复删除如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)
今天没有使用代理,访问这个网站浏览器没有报告该网站的证书有问题,直接就打开了。
TO 楼上的网友
回复删除之前你用自由门,打不开 https://www.enum.cn,可能是自由门没设置好。这个网站在墙内,其实无须翻墙即可访问。
如果你打开这个网站,浏览器没有弹出警告,说明你的 CNNIC 证书没有清理干净。
有这么一回事~~ 我用chrome打开 https://www.cnnic.com 居然说
回复删除此网站已经经过 GoAgent CA 验证,我之前已经按你所说的去做,而且打开网站也是显示警告的, 现在居然显示正常的了~~~
TO BBC
回复删除你再试试看 https://www.cnnic.cn/ 看症状如何?
https://www.cnnic.cn/ 和 https://www.cnnic.cn/ 都是什么性质的,一样那么邪恶的么?
回复删除TO BBC
回复删除https://www.cnnic.com/ 俺不太清楚。
https://www.cnnic.cn/ 就是老流氓 CNNIC 的网站。
如果你访问 https://www.cnnic.cn/ 显示证书无效,那应该就是门户清理干净了。
我现在关掉goagent是打不开 https://www.cnnic.cn了
回复删除但打开goagent翻墙的话 https://www.cnnic.cn又能正常打开
TO 章韦德
回复删除这是因为 goagent 并没有真正支持对 HTTPS 的代理。
如果你直接访问 https://www.cnnic.cn 浏览器有警告,就说明你已经把门户清理干净了。
照着LZ的指导进行操作,之前禁用了,但是还是能够打开https://www.cnnic.cn,颇感郁闷。
回复删除也遇到一次禁用之后,又有效的,可能是我属性没有点击应用/确定造成的吧。。
因为后来就没有再出现过。。
虽然显示CNNIC的证书被禁用,但是还是能够打开https://www.cnnic.cn,非常不爽;把chrome关掉,重新打开,不翻墙的时候访问它,显示:
服务器证书无效
您试图访问 www.cnnic.cn,但服务器提供的证书无效。
感谢LZ辛勤的普及知识,好人一生平安。。。。
TO 楼上的网友
回复删除如果不翻墙的情况下,访问 https://www.cnnic.cn 显示证书无效,说明你已经把 CNNIC 证书清理干净了。
如果在翻墙的时候,可以正常打开 https://www.cnnic.cn 请问你是不是用 GoAgent 翻墙?
GoAgent 不能原生支持 HTTPS,所以会出现上述假象。
各位解惑我有一个cnnicroot和两个entrust证书,,如何将他们导入不受信任的证书呢?是不是要找到他们文件存储区域,但我找不到
回复删除TO 彭帝一
回复删除俺这篇博文中,介绍了如何禁用 Windows 上的证书。
请看:
◇清理Windows的证书(适用IE、Chrome、Safari)
请问楼主,win7里面的证书列表里有个China Trust Network,颁发者也是同名,性质和CNNIC一样吗?thanks
回复删除这个证书貌似跟“天威诚信”有关。
删除你是不是装过什么网银或网络支付相关的软件?
为了保险起见,你可以先禁用该证书,然后看看是否有啥不良反应。
如果没啥影响,就让它一直禁用着。
天威诚信是支付宝支付盾的开发公司,这个公司是美国铁壳的合作伙伴。
删除再次见到了中间人攻击……这次是github
回复删除HTTPS 协议本身还是很成熟的,所以,朝廷御用的那帮技术人员自然会想到用“中间人攻击”
删除今后,CA 证书的安全问题,应该会更加突出。
文中给出的测试用网站已经无法连接,建议改成这个https://tns-fsverify.cnnic.cn/
回复删除文中给出的测试网址 https://www.cnnic.cn/
删除俺测试过,应该还可以用
如果根列表中没有这个证书,我认为不应该先导入。
回复删除另外,在我的Win7机器中,CNNIC证书是在‘第三方根证书’条目下。
如果系统中没有 CNNIC 证书,那只能说明系统尚未被污染。不能保证今后永远没有。
删除先导入再禁用,是为了避免今后被污染。
纠正:
回复删除Firefox部分的“证书结构”,应为「证书机构」
TO Hugo Chan
删除多谢指出本文的笔误 :)
已经更正
方法不管用啊,在Win8中,Chrome浏览器,成功Disable 那些证书的purpose.也导入了Untrust列表,但还是能正常访问:
回复删除https://www.cnnic.cn/
此评论已被作者删除。
删除俺当初写这篇博文的时候,Win8 还没推出。
删除俺目前手头上没有 Win8 的环境,没法测试验证。
这个方法管用,在win8 pro x64 环境下。
删除想问博主一个问题,就是在屏蔽掉CNNIC的证书之后,使用chrome访问一些使用cnnic证书的网站时会提示证书无效,例如网易的163邮箱和国内的暴雪战网。如何在chrome里添加特定的地址例外呢?我找了好久都没找到添加例外的地方。。。
TO 3单元的网友
删除点地址栏的那个无效证书的标志,然后点“证书信息”,会弹出该无效证书的对话框。
然后选“详细信息”标签页,下面有“复制到文件”的按钮。
就可以把证书保存到本地。
然后到 Chrome 的 设置 => 高级设置 => 管理证书
然后选"受信任的根证书颁发机构",把刚才保存的证书导入
顺便说一下:
Firefox 相比 Chrome,添加证书例外的操作简单得多。
能更新windows10和浏览器的删除方法吗?
删除经测验 我禁用win8中的证书有cnnic root和entrust.net的两个一共三个 而且我用ie10打开https://www.cnnic.cn/提示此网站的证书有问题 请问博主这样正确吗
回复删除如果你用 IE 访问 CNNIC 的网站已经有证书警告提示,那说明你已经清理掉了 Windows 系统里的 CNNIC 证书。
删除提醒一下:
假如今后你用 Firefox 上网,还得再清除一下 Firefox 内置的 CNNIC 证书。
因为 Firefox 使用自己的一套证书系统,没有用 Windows 的。
话说推荐大家下载一个chrome扩展...
回复删除名字叫wot?应该是这个。
然后,访问大部分网站的时候,会提示是否受信任!
另外想问一下...
我看了一下不受信任的证书= =里面竟然又谷歌...于是我把他直接删除了。
另外里面还有一些不受信任的证书,我不能确定哪些应该删除....
求解....
话说怎么发图片= =
我有截图
俺博客的留言,支持嵌入图片。
删除但是你需要把图片先上传到某个地方,然后把图片的 URL 嵌入到留言里,图片语法如下:
[img]图片的网址[/img]
按照操作指示一步步把CNNIC禁用并且也导入为不信任证书了,用IE访问https://www.cnnic.cn显示证书错误,说明配置正确了,但是用Chrome通过GoAgent访问却显示证书正确,查看详细信息,www.cnnic.cn被GoAgent CA信任了,这怎么回事?
回复删除GoAgent 没有原生支持 HTTPS,所以你通过 GoAgent 去访问 https://www.cnnic.cn 会被误导。
删除建议直接用浏览器访问 https://www.cnnic.cn
如果要用翻墙代理,不要用 GoAgent,改用其它的代理软件
一:又有China Internet Network Information Center EV Certificates Root这个证书冒出来了
回复删除二:网易邮箱这个真还没注意,一试果不其然,亏我还用了这么长时间,赶紧撤换别家的邮箱。
网易用的不是cnnic的证书啊!,不过还是用Gmail好,毕竟是翻墙运动员.
删除国内邮箱都会有安全问题,不光是网易。
删除因为朝廷可以监控国内的邮件服务器(监控每个邮箱收发的信件)。
如果你的往来邮件中包含政治敏感内容,建议不要用国内邮箱。
想问问博主,有没有测试过Android 4.0系统下如何彻底删除CNNIC的证书?
回复删除目前似乎只能Disable,不知道如何在/system/etc/security/cacerts下筛选出这个文件并彻底删除?
TO Velaciela Zhu
删除如果你已禁用,就已经达到目的了,不一定要彻底删除。
为了保险起见,用自己的浏览器访问 https://www.cnnic.cn/
只要出现“无效证书”的警告提示,就说明门户清理干净了
楼主啊,确定只有这三个吗?
回复删除火狐19.0这样做似乎已经没用了啊,自动被加回,打开cnnic正常的不得了。ie上是解决了。
火狐内置证书,高级设置里取消信任即可。
删除Firefox 的内置证书被删除后,只是证书的信任关系被清除,证书还是在列表中的。
删除如果不放心,可以选中该证书,点“编辑信任”按钮,看看该证书的信任关系是否还在。
學習了這個帖子後,我現在最關心的是,我今天訪問博主的頁面,都是用我的用戶名跟的帖,請問愽主,專制獨裁的GCD可以用我的用戶名、以及我登錄BLOGGER的時間,追蹤到我在牆內的IP嗎?如果能追蹤的話,我剛剛寫了一點東西的BLOGGER,是不是就沒法再用了。唉,只有感嘅。
回复删除TO Ys Yb
删除如果你用多重代理的方式翻墙,可以从网络层面避免你的公网 IP 泄漏。
也就是说,即使 Blogger 跟踪记录你的 IP,也无法最终到你的真实公网 IP
当然,其它层面的防范也要注意。
具体请看俺的系列博文《[url=http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]如何隐藏你的踪迹,避免跨省追捕[/url]》
“停用这个证书的所有目的”这个选不上啊。。这个如何破??请看 https://plus.google.com/u/0/100075712147512348166/posts/FnBV2VxHueR
回复删除CCNIC证书有进到信任证书里面了。而且不能禁用所有目的。。。如何破?
回复删除https://plus.google.com/u/0/100075712147512348166/posts/FnBV2VxHueR
可能的话,不要发同一内容的帖子。
删除从你的截图来看,可能是权限不够。
五美分拿好,继续到别的地方喷粪,帮你的美爹擦屁股。
删除TO David Chen
删除请问你这个 Windows 系统使用的是什么用户组的用户?
俺的观点和 Hugo Chan 类似——有可能是用户权限不够。
分享一下ubuntu系统chrome证书的清除: 因为我按照博主提供的方法,清楚对应证书后,访问https://www.cnnic.cn/居然是正常的....
回复删除不过我尝试着如下方法居然成功了:chrome设置->搜索ssl->管理证书-> 直接ctrl+F搜索cnnic,然后鼠标选中,点击下面菜单的编辑,在出现的对话框去掉所有信任勾选. 然后在访问https://www.cnnic.cn/.... 访问不了了...哈哈
TO 我是谁
删除多谢补充 :)
这篇博文写于 2010年春节。
当时的 Chrome 跟如今的 Chrome 差别很大。
不管用哪种方式清理门户,最终要记得访问一下老流氓 CNNIC 自己的 HTTPS 主页,
只要浏览器有警告,就说明清理干净了
如果你之前在火狐打开过https://www.cnnic.cn/,按博主的操作完后,https://www.cnnic.cn/仍然可以打开,其实那是缓存在起作用,只要在“管理所有历史”-右键点击www.cnnic.cn,选“清除此站点信息”,之后再打开https://www.cnnic.cn/就打不开了。
回复删除TO 12345
删除多谢分享经验 :)
用最新的Firefox 24.0 for Android 测试 https://tns-fsverify.cnnic.cn
回复删除可以连接,说明Firefox 信任了CNNIC证书,但是没有发现如何禁用证书的设置界面。
而Android版的Chrome 30.0.1599.82和Dolphin 10.1.0则显示证书不可靠的警告。
TO 75楼的网友
删除到 Firefox 的选项设置界面找找看。
上网看到了这个,博主好像没有提到啊
回复删除“警告,CNNIC拿到了新的根证书(不同于 CNNIC Root
名称是 China Internet Network Information Center EV Certificates Root
大多数系统可能还未升级所以没有,可以到以下地址下载该证书
然后将其导入到『运行 – certmgr.msc – 不信任的证书 – 证书』里!
http://www.cnnic.net.cn/jczyfw/fwqzs/fwqzsxzzx/201209/W020120921571461274919.cer »“
TO paulus
删除多谢补充 :)
你提到的这个新证书,应该还没被国外重要机构(比如:微软、Mozilla)信任,所以暂时影响不大。
如果这个新证书被重要机构信任了,俺会再发一篇博文提醒大伙儿警惕 CNNIC 这个流氓。
这个证书已经在Win7中发现
删除To: 编程随想,China Internet Network Information Center EV Certificates Root 已经被Moliza收录到Firefox里, Ubuntu 12.04也是, 建议Ubuntu和Firefox用户检查一下并取消信任。
删除测试XP系统、IE浏览器时,一度困惑在完全按照博主的操作步骤做,但仍无法清除CNNIC证书。
回复删除后发现原因是:在禁用和导入不信任证书之前,需进入控制面板----添加或删除程序-------添加或删除windows组件,找出更新根证书目录,把那钩去掉,点击下一步,彻底把CNNIC自动植入的通道给封掉,否则你前脚删,后脚丫又钻进来安家。
win8.1按照博主这一类的操作方法,表示没问题
TO POLA
删除多谢分享移除 CNNIC 证书的经验 :)
可不可以用英文刪除方式,中文這選擇看不明
删除我在我的 Mac 中发现了 CNNIC,China Internet Network Information Center EV Certificates Root,UCA Root 三个根证书,都是 CN 颁发的。我把他们都禁用了。
回复删除12306的srca证书默认启用了所有目的,博主是不是把这个东东也封杀一下
回复删除TO 79楼的网友
删除关于是否删除这个证书,请看俺在 81楼 的留言
网易邮箱现在使用的是GeoTrust SSL CA证书
回复删除博主,现在国内颁发的证书也很多了。如这篇:天朝颁发的证书一览表:http://www.v2ex.com/t/58891
回复删除里面提到了CFCA,China Trust Network,iTruschina,UCA Global Root,ROOTCA,WoSign,Alipay Trust NetWork(这个好像没用了,Alipay现在用VeriSign的证书),这些证书要不要都干掉?
TO 12345 和前面几楼的网友
删除俺这篇博文写于3年前。后来天朝的某些机构又发布了一些 CA证书。
从危害性来看
这些 CA证书的危害 不如【CNNIC 的根证书】
因为【CNNIC 的根证书】内置到了 Firefox的证书列表 和 Windows 的证书列表。
而 IE 和 Chrome 默认用的是 Windows 的证书列表。
如此一来,三大浏览器默认都会启用 CNNIC 的根证书,这是其最大的危险之处。
国内后来搞出来的其它根证书,应该都不是 Firefox 和 Windows 的默认证书。
也就是说:默认情况下不会被启用。
如果你的系统因为安装了某些软件,可能会把某些国产的证书引入。
假如你对安全性的要求较高,可以先把这些国产的证书禁用。
除此之外,还应该清理 ALIPAY_ROOT(支付宝)、CFCA(中国金融认证中心,共12张证书)、ICBC(工商银行,3张证书)、ROOTCA(实际上是国家密码局OSCCA
删除伪装的)这一类涉及金融的证书。经常使用网银的可能有几十张此类证书,这些证书全部把自己作为 Root CA,还会把自己的预期目的设置为全部,包括数十种权限:加密文件系统、硬件驱动验证、系统组件验证、内核代码签名、应用商店、DNS、BitLocker、系统更新、Windows Hello等等许多非常敏感的权限。这使得网络系统的控制者可以随时使用“合法”方式向几乎所有正在通信的用户下发任何二进制代码并执行。
在证书管理器中双击某证书(随便一个都行)选择"详细信息"再点击"颁发者"总会出现这样的显示CN = WoSign Class 4 EV Pro Server CA,前面有个CN的总不让人放心,害怕也像CNNIC ROOT、CNNIC SSL那样监控并进行中间人攻击,会有危险吗?
回复删除那个是CommonName的简称
删除TO 1单元的网友
删除多谢替俺回答网友提问 :)
挂了GAE代理还是可以打开老流氓的https://www.cnnic.cn,有问题吗?
回复删除对啊我的也是。。一开始还以为各种情况呢。。
删除我海淘的笔记本 预装WIN8 没有CNNIC的证书。
回复删除天朝相关的CA证书列表和去除方法(不止是CNNIC,还有很多,更新很及时)
回复删除https://github.com/chengr28/AntiChinaCerts
文章末的·最最最严重安全警告·文章链接已经失效https://autoproxy.org/en/node/66
回复删除博主好人,已经干掉cnnic root证书了
回复删除在firefox 35.0.1上删除cnnic root,并不能将其删除.重新打开信任设置后发现cnnic root还在,只是将其信任设置的三个选项给勾掉了.
回复删除更奇怪的是,如果这时访问
https://cnnic.cn
firefox会block
如果访问https://www.cnnic.cn
firefox不会block,而是会正常显示,而且有时还会自动添加cnnic ssl 这个条目.
相反在IE下会block both https://www.cnnic.cn and https://cnnic.cn
请大家小心.如果有谁知道技术细节请指点,谢谢.
刚测试了下,没有出现你说的情况。两个URL都会提示风险。
删除火狐删除证书等于设置信任用途为空。
删除不过最新版(32)可能确实存在这个情况,就是删除了证书之后,访问网站自动又增加回证书了。
是这样的,火狐只能限制顶级CA。
但CNNIC SSL不是顶级CA,而是在其他一个老牌顶级CA下。
你又不方便禁掉那个顶级CA,所以你访问的时候,火狐一看网站给的证书CNNIC SSL声明我是那个CA发的,火狐一查果然没错,就又把CNNIC SSL加回去了、、
CHROME和IE不存在这个问题。
2单元你在胡说些什么?
删除首先 Firefox 目前最新版为 35.0.1。
其次 cnnic.cn 这个站点的信任链是 cnnic root → cnnic ssl → cnnic.cn,哪里来的老牌顶级CA?cnnic root 怎么就不能被禁用了?
另外 to 楼主:
Firefox 内置的还有个 China Internet Network Information Center 的证书,看名字就知道不是什么好货。
请问88楼1单元,你的firefox是什么版本?
删除请问88楼2单元,cnnic ssl是在哪个老牌顶级ca下?我查了ver 35.0.1下的entrust,没有cnnic ssl.
我是1单元,版本是35.0.1,和你的一样。刚才的评论被吞了,等恢复,2单元纯属瞎扯,哪来的老牌CA?
删除此评论已被作者删除。
删除反馈一下,在android手机上也看到了CNNIC root凭证,果断删除了。
回复删除在这里看到英文帖子讨论cnnic的证书问题Questioning the chain of trust: investigations into the root certificates on mobile devices: https://bluebox.com/technical/questioning-the-chain-of-trust-investigations-into-the-root-certificates-on-mobile-devices/#Roots-of-Trust-in-Mobile-Android-Analysis
删除CNNIC终于露馅了~
回复删除CNNIC发行的中级CA发行了Google的假证书【http://www.solidot.org/story?sid=43434】【http://googleonlinesecurity.blogspot.de/2015/03/maintaining-digital-certificate-security.html】
回复删除CNNIC的一个中级CA被发现发行了Google域名的假证书,该中级CA证书已被Chrome和Mozilla Firefox撤销。Google官方博客称,3月20日他们发现埃及的中级CA MCS Holdings发行了多个Google域名的假证书,而MCS Holdings的中级证书则来自中国的CNNIC,CNNIC作为根CA被几乎所有操作系统和浏览器信任。Google 联系了CNNIC,CNNIC在3月22日回应称,MCS本应该只向它注册的域名发行证书。在此案例中,CNNIC向MCS发行了一个无约束的中级证书,MCS将其安装在一个防火墙设备上充当中间人代理,用于执行加密连接拦截(SSL MITM)。企业出于法律或安全理由需要拦截雇员的加密连接,但必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证书。
这个不好拿来黑党国吧,埃及给美国当了多少年的小弟了,没那么容易倒向朝廷的。估计就是CNNIC卖证书的时候是不管对方拿来干什么的。
删除to 匿名
删除也许不是故意而为之。但还是谨慎为上。
附Bugzilla论坛对CNNIC的看法https://bugzilla.mozilla.org/show_bug.cgi?id=542689
谨慎那是必须的啊,我只是说这个事应该不是朝廷做的,不过这也再次印证了CNNIC的节操,他家的证书估计是给钱就卖的,就算不是被朝廷盯上的敏感人士,普通人也会受害。
删除回1单元的匿名。那是埃及的一间公司而不是埃及政府,说不准是党国谍报系统的外壳。真埃及人开的公司怎么不从埃及政府那里领证书?
删除楼上朋友,也许是CNNIC的要价便宜,证书卖了之后也不管他们拿去怎么用?唉,再说下去感觉就成了给朝廷洗地了,CNNIC毫无疑问是不应被信任的。
删除这个中共老流氓豢养的兲朝互联网流氓最近又出来祸害无辜用户了
回复删除找到这个文件,右键-发送到-桌面快捷方式,每次开机后(或登陆Gmail之前)运行一下,查看证书情况。
回复删除C:\Windows\System32\certmgr.msc
可以经常检查一下以下这些网站,如果出现证书警告,则安全。
如果能打开任何一个网站,则意味着你的系统有受到“中间人攻击”的危险。
https://cnnic.cn/
https://www.cnnic.cn/
https://www.cnnic.net.cn/
https://evdemo.cnnic.cn/
https://space.cnnic.cn/outer/customerAction!init.action
https://www1.cnnic.cn/
证书是保证会话安全的。
删除我有个问题,假如我只想匿名看某网站的内容而不留言什么的。怎么忽略证书警告,或者怎么在忽略证书后不会留下后患。
弱弱地問下,博主難不成把這幾個系統和瀏覽器都安裝了一次來試驗,不然怎麼知道具體設置步驟?
回复删除最近两天又看到CNNIC证书的新闻了,检查了Firefox内的证书,赫然发现一个新证书叫China Internet Network Infomation Center,同时也有CNNIC原来的证书。我觉得两者是一样的性质。
回复删除http://googleonlinesecurity.blogspot.com.au/2015/03/maintaining-digital-certificate-security.html
回复删除这篇文章该重新贴出来温习一下了 :-)
https://kenengba.com/post/3336.html
回复删除“可能吧”也参与声讨老流氓的恶行了 ,大伙儿围观一下。
感谢随想早期的科普!
苹果继续信任CNNIC的根证书
回复删除在CNNIC被发现签发了一个允许签发假的Google域名证书的中级CA后,Google和Mozilla先后宣布不再信任CNNIC的根证书。为了减少对用户的影响,Google和Mozilla仍然信任现有的CNNIC证书,但不再接受其新签发的证书。CNNIC的主管单位是中国互联网最高监管机构网信办。苹果本周三向 iOS和OSX释出了一个重大安全更新,但CNNIC的根证书仍然在苹果的信任列表中。对于苹果的iOS设备,用户无法像Linux和Windows那样手动删除根证书。苹果对于伪造证书一事至今没有发表公开声明,而微软则屏蔽了中级CA但没有吊销CNNIC根证书。
tor自带的firefox浏览器,删除后再启动,证书又起作用了,删不掉啊
回复删除可以看xiaolan的教程《如何在Tor Browser中永久撤销对证书的信任?》
删除https://xiaolan.me/how-to-remove-certs-from-torbrowser.html
Firefox 40.0.3,资本主义版。
回复删除证书已吊销,仍然存在访问 cnnic.cn 被阻止而 www.cnnic.cn 正常打开的问题
在火狐的独立证书管理里面,手动编辑信任,手动去掉“此证书可以用于鉴定网站”的勾勾。就可以了。
删除具体方法是:
右侧菜单>Options>Advanced>Certificates>View Certificates>Authorities
找到CNNIC>CNNIC ROOT并选中
点Edit Trust按钮
把所有的勾都去掉。特别是This certificate can identify websites
点OK
千万别把这个证书删掉了。
最后重启浏览器,以https访问cnnic.cn,出现警告。
我这条鱼已经搁浅在沙滩上晒干了
回复删除Github那个页面没找到CNNIC证书的下载链接。
回复删除相同经历
删除www.dou-bi.com/cnnic-js1/
删除除了CNNIC的,还有哪些不可信任。列举有些给菜鸟呗。
回复删除READ_IT.txt加密病毒是一种高风险的勒索病毒。此Windows PC上的威胁攻击加密所有文件和文件夹。这一招病毒是由网络罪犯旨在克服PC控制。更多信息请访问 http://www.howtocleanspywarecn.com/
回复删除按照您说的清除方法清除tor中的cnnic证书后,再次输入您给的那个网址后,还是能正常打开此网站,请问这是怎么回事呢?也就是从今天才开始这样的,就是tor更新到最新版以后出现的这种情况,能否麻烦您再介绍介绍,发生类似情况后,该从哪些方面入手分析,找到根源,谢谢。如果看到此贴,知道怎么解决的,麻烦大家都给介绍介绍,一并谢了。
回复删除cnnic.cn 现在改了证书了,改成由DigiCert颁发的证书。
回复删除从良了,很好,很好!
删除[url]https://www.zhihu.com/question/49291684[/url]
删除wosign和StartCom应该取消信任吗?
回复删除https://www.v2ex.com/t/303761
我想知道,网银安装在系统里的根证书安全吗?
回复删除先翻墙到“这个页面”下载现成的 CNNIC 证书(要解压缩出来)。这个页面链接失效了,博主可否重新给个来链接?
回复删除RevokeChinaCerts(废除中国证书):
删除https://github.com/chengr28/RevokeChinaCerts
本人是osx sierra 10.12.6按照博主的方法回去检验cnnic发现还是显示安全并没有证书缺失可以正常打开并且发现证书换成了digicert global root ca 签发地区是us
回复删除我提一个问题,现在firefox的选项里没有高级了,我没法找到证书管理器,请问呢现在新版的firefox要如何才能进入证书管理面板?
回复删除你好博主,Firefox ESR里面的沃通证书删除不掉怎么弄?
回复删除设置,隐私与安全,查看证书,选择WoSign,编辑信任。
删除在Android系统中发现新的CFCA和GDCA。
回复删除打开certmgr和certlm看看,Windows默认没信任CFCA和GDCA。但Firefox默认信任CFCA和GDCA。Linux也默认信任CFCA和GDCA。
删除iOS没法禁止系统自带证书。
回复删除在Android上发现新的CFCA(China Financial Certification Authority)和GDCA(Guang Dong Certificate Authority)
回复删除