如何阻止不信任的CNNIC证书
是的,CNNIC这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。
钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科(http://zh.wikipedia.org/wiki/%E6%95%B0%E5%AD%97%E8%AF%81%E4%B9%A6)。
数字证书相当于用户网上交易的身份证,它是建立在密码保护之上的安全性更高的安全机制,当用户在使用数字证书进行交易时,系统会通过多重加密保障交易信息不被篡改、劫持,以保证用户交易的安全。曹小青说,中国金融认证中心发放的数字证书具有法律效力,有赔付承诺,能够提供有法律依据的数字签名,能更好地为用户规避网银使用风险;如果数字证书因加密机制被破解致使用户遭受损失,用户可向中国金融认证中心索赔。
Twitter上有同学分享了http://felixcat.net/2010/01/throw-out-cnnic/,结果该网站瞬间由于流量过大而宕机。 而我手快删除了 Firefox 的证书,结果没办法让 IE 也不信任它。
提供证书下载:https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 感谢@flying19880517和@terryxxy提供证书给我。注意此证书是用来不信任的,不是用来安装的。
由于Firefox可以很容易的删除证书使其变为不受信,但IE证书就需要使用Windows的证书管理器来添加,所以还是需要下载后导入使其不受信任。另外苹果用户参考苹果下的FIREFOX如何删除CNNIC的根证书,需翻_墙。
从谷歌阅读器里搜索到了该文章,转载如下:
在Twitter上惊闻“微软把CNNIC列为根证书发布者”,赶紧Google一把,发现Mozilla同样也已经在3.6版的Firefox里这么做了。
出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。
因为IE/Chrome 采用微软的CA目录,而微软现在暂未将CNNIC加入,因此需要先从Firefox中导出这几个证书。再添加到 Windows 的“不信任”列表,以防范于未然 。下面便是具体的步骤了(包括 IE/Chrome/Firefox ):
1、如果没有安装Firefox浏览器的3.6最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步:
CNNICROOT.crt http://felixcat.net/CNNICROOT.crt
CNNICSSL.crt http://felixcat.net/CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt
http://felixcat.net/Entrust.netSecureServerCertificationAuthority.crt
2、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)
3、在证书机构 (Authorites) 标签页中找到“CNNIC”组的“CNNIC ROOT”项,按导出 (Export) ,然后删除 (Delete) 。在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有目的 ,并不会将其删除。
4、在“Entrust.net”组中找到“Entrust.net Secure Server Certification Authority”(序列号 37:4A:D2:43)和“CNNIC SSL”证书,同样导出并删除,这也是 CNNIC使用的证书。
5、打开开始菜单 -> 运行(或者直接按 Win-R)
6、输入 certmgr.msc ,打开 Windows 的证书管理器。
7、展开“不受信任的证书”,右键单击其下“证书”项,在“所有任务”子菜单下单击“导入…”;
8、分别找到刚才保存的三个证书,依次导入Next->Browse…->Next->Next->Finish。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
想检验操作是否成功?在浏览器里访问https://www.enum.cn/,如果提示证书被拒绝,就证明操作成功了!
在默认情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove Programs)->添加/删除windows组件(Add/Remove Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”。
