201208020920請刪除/移除瀏覽器中 CNNIC 的 CA 根憑證

先前曾有網友貼了篇關於 Firefox 根憑證 CA 的安全性

可疑的中國互聯網絡信息中心 SSL 憑證
http://people.debian.org.tw/~chihchun/remove-cnnic/

 

最近發現 Firefox 更新後, CNNIC 的認證竟然無法刪除!! 由於 CNNIC 曾有過"不良記錄",所以...
這下子事情大條了。

----------------------------------------------------------------------------------------------

在網路上傳輸的任何訊息都可能被惡意攔截。因此,如果網站需要用戶傳輸資料很敏感,譬如銀行
金融的交易,個人資料或私密郵件。就會使用一種叫作 SSL/TLS/HTTPS 特殊通訊協定,將我們
和網站伺服器間的通信加密起來以保障訊息的安全。而若使用 SSL/TLS/HTTPS 加密,必須先向有
CA (Certificate Authority) 權限的組織或公司申請一組憑證。有了這組 CA 權限的憑證以確保加
密訊息是值得信賴。

大約一年多前,中國互聯網絡信息中心(簡稱 CNNIC)為了推動其網址衛士服務,陸續將其發行的
CA 根憑證申請納入各瀏覽器的 SSL 憑證。
就是那個曾經利用 rootkit 技術散布上網軟體使人無法
刪除的流氓軟體(與木馬病毒程式一樣,在微軟網站上,有詳細的技術分析說明)。
於是在所有中
文用戶被隱瞞的情況下,偷偷地獲得了 CA 認證發行權限!因為 CNNIC 有了 CA 憑證權限,依據
SSL CA 的階層式信任的架構,瀏覽器將對它的憑證是完全信任。這意味著 CNNIC 可以隨意假造
一個 CA 憑證來替換掉網站真正的 CA 憑證,而瀏覽器卻不會給我們任何警告。

也就是說,當你連結中國境內的網站(或者有假 CA 憑證),透過所謂 SSL 安全性連線登入該網站
系統時,即使瀏覽器顯示此 SSL 安全性連線安全無虞,但實際上因為假 CA 憑證之故,很有可能實
際上連到的是 個釣魚網站(DNS hijacking 是中國 GFW 常用的技倆)。繼而進行 SSL MITM (
Man-In-The-Middle) 攻擊,從而盜取我們在網路上傳輸的任何資料。你的帳號、密碼就會被竊取,
包括你所有平常用的網路服務資訊盡皆淪陷。

更實際的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,將會
被導引連到假的 Gmail 登入頁面。而你根本毫無所覺,於是自己的 Gmail 帳號、密碼拱手讓人
。先前中國政府曾利用此法,竊取民運人士的 Gmail 帳密,還記得嗎?

你信任 CNNIC (中國互聯網絡信息中心) 嗎?你相信它絕對會安守本分,不會偷偷地幹壞事嗎?

---------------------------------------------------------------------------------------------

若不知道事情嚴重性的網友可參考對岸中國網友的貼文

http://www.douban.com/group/topic/10680097/
https://autoproxy.org/zh-CN/node/66
http://felixcat.net/2010/01/throw-out-cnnic/

http://mozlinks-zh.blogspot.com/2010/02/cnnic.html
http://blog.longwin.com.tw/2010/02/remove-cnnic-ssl-ca-linux-2010/
http://people.debian.org.tw/~chihchun/2010/02/02/remove-cnnic-cert-on-linux/
http://john-publish.blogspot.tw/2011/03/windowscnnic.html

為此
必須修改 Windows 系統(IE)的憑證信任設定

步驟:

1. 選"開始",在命令列中輸入"certmgr.msc"後執行;或直接按鍵盤的"Windows" + "R"鍵。


2. 打開在"受信任的根憑證授權單位"下的"憑證",把"CNNIC ROOT"移至"沒有信任的憑證"下的"憑證"內。

 

3. 再點選"CNNIC ROOT",按滑鼠右鍵,選"內容"。


4. 勾選"對這個憑證停用所有目的",按"確定"後離開。


--- 以上是IE瀏覽器適用 ---

 


5. 打開 Firefox 瀏覽器,點選"選項"


6. 選"進階"、"加密"、"檢視憑證清單"

 

7. 再選"憑證機構",找到"CNNIC"。

 

8. 按"編輯信任",確認 CNNIC 憑證檔案設定中未作任何勾選。


9. 往下找,在"Entrust.net"有"Entrust.net Secure Server Certification Authority"。

 

10. 同樣按"編輯信任",取消憑證設定中任何勾選(註:若群組內有 CNNIC 相關憑證,比照處理)



11. 重新啟動電腦。

回應
    沒有新回應!
關鍵字





Powered by Xuite
[此功能已終止服務]