【转】CNNIC CA：最最最严重安全警告！

自由的风

https://autoproxy.org/zh-CN/node/66
CNNIC CA：最最最严重安全警告！
由 WCM 于 星期一, 2010-02-01 20:00 发表
Posted in CA CNNIC Entrust Firefox GFW GMail MITM Mozilla SSL Vote
各位，虽然此事与 AutoProxy 无关，但它对所有（也包括 AutoProxy）用户都是一个非常严重的安全威胁。我，WCM，AutoProxy 作者，以个人名誉强烈建议您认真阅读并采取措施。

背景知识
网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。

发生了什么事
最近，CNNIC——对，就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！



意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

影响范围
基本上所有浏览器的所有用户均受影响！

行动第一步：立即安全防御
在此只介绍 Firefox 浏览器的防御方法，其它浏览器的用户请自行 Google，原理类似。

菜单栏：工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
这是一个很长的列表，按照字母顺序，你应该能找到一个叫着 "CNNIC ROOT" 的记录，就是这个东西，告诉 Firefox，我们不信任它！
选中 CNNIC ROOT，点击下面的“编辑”按钮，弹出一个框，应该有3个选项，把所有选项的勾都去掉！保存。
还没有完，狡兔有三窟。
接着往下找，有一个叫着 Entrust.net 的组，这个组里应该有一个 "CNNIC SSL" (如果没有，访问一下 这个网站 就有了)
别急着下手，这回情况不一样，这个证书是 Entrust 签名的。我们信任 Entrust，Entrust 说它信任 CNNIC，所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条，同上面一样，把3个选项的勾都去掉，保存（提示：取消了对 Entrust 的信任以后，可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名，随便试了一下，没找到例子）。
最后，让我们验证一下。重启 Firefox，打开 这个 和 这个 网站，如果Firefox 对这两个网站都给出了安全警告，而非正常浏览，恭喜，您已经摆脱了 CNNIC CA 的安全威胁！

行动第二步：治标还需治本
几天前听到这个消息的时候，我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末，我忽然觉得这样很不好。因为只要它存在，始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法：如果大部分人都处于安全威胁当中，一个人苟且偷安又有什么意义？如果不能将自由与安全的门槛降低一点点，所谓的技术又有什么好侥幸的？

所以我呼吁大家，贡献一点时间和知识，团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动，只有我们社区。

首先推荐的是 Firefox，作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论（注意，你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话，免遭讨厌。强调政治、GFW 的之类的不管用，必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段，或者申请成功后的某些行为违反了 Mozilla 的 CA 政策；比如它的属性和过往行为表明它不会忠于自己的职责，而(帮助)做出 MITM 这种 CA 共愤的事情）。

其次是 Entrust，它说它信任，导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重，因为它错误地信任了 CNNIC，大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信，因为此次事件我们不得不删除了 Entrust 的 CA，请求他们另选别家认证。如果反响强烈，势必给 Entrust 造成很大压力。

除此之外，来投个票吧（结果统计）！

最后，强烈建议大家，发现证书警告的时候最好直接关掉，不要轻易添加例外。证书的信任体系是一级依赖一级的，一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站，不妨定期（每周/每月）测一测，如果哪天你发现其中的任何一个网站没有证书警告，就要注意了！

各位：
DNS 劫持已然成为常态，不要让 SSL 劫持再次普及！此事刚刚发布，尚有评议空间。待时间流逝，你我皆成温水中之青蛙！

天空wk3368

结果很欢喜：
FF 4.0.似乎 Entrust.net 确实把 CNNIC 干掉了，努力没有白费

mh

> 工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)

我的3.6版 FF 上是  工具->高级->加密->查看证书->证书机构(Authorites)

裂缝

chrome里没找到 CNNIC
options - under the hood -manage cetificates

mh

我的中文版的chrom中， 扳手-选项-高级选项-安全部分的“管理证书”-

受信任的根证书颁发机构有：
alibaba.com corporation
Entrust.net certification....
Entrust.net Security ...
iTrustchina CN Root CA-1
iTrustchina CN Root CA-1
iTrustchina CN Root CA-1

中级证书颁发机构:
Alibaba.com Corporation
Beijing ZJKH Ltd. CA
5 个 iTrustchina ....

中级证书颁发机构可以删除，受信任的根证书颁发机构似乎不让删除。