CNNIC CA：最最最严重安全警告！

phillo

mark

lostray

蹭面子路过

cnnic必须死，当年3721手工干死过，cnnic的流氓软件死活干不死

at000m

我们完全不能确定以前的根证书就不会出现这种问题，所以删除所有证书才是王道！

auric

搞过后还是照样能上CNNIC

ov_efly

现在之后删除证书一途了么

spieler

主贴开宗明义说拿到CA root的都是经过经过全球审核，值得信赖的。

至于钓鱼网站   那把所有发证书机构都毙了吧

sunsan_5

不一定用字母順序去查

kangbaiyin

ie6到底怎么处理

IE选项-证书里删哪些？

3完后
添加删除程序和证书管理器里是否还需要动作？

mono

楼上这些挺的都没装过CNNIC客户端?

Sunyanzi

我只是说 ... 我是个好人 ... 我不做恶 ...

装过我的证书的同学不要殃及池鱼把我的证书也一并干倒啊 ...

LIN+

这贴子果然是在外野呆太久了吗里面怎么这么恶心

safari直接在keychain里untrust，windows safari不清楚

spieler

本帖最后由 spieler 于 2010-2-2 14:33 编辑

别蠢了  按道理说法院也该是依法办事的

不过嘛.送你到薄三儿的法院去你敢不敢..

顶楼早就告诉你伪造SSL造成的危害,作者网站今天就被DDOS了

想在这狡辩什么,你想说其他机构也跟CNNIC一样流氓下限? ...
Sarah.Palin 发表于 2010-2-2 13:54

卖萌州长SSL的问题不用你教 老子好歹也是这个专业的

无他  解释下CNNIC怎么搞到ca root的吧  既然CNNIC的证书不可信  那凭什么说其他机构的证书一定可信

好吧   红字部分州长是想说明CNNIC的证书只在中国有效吗

michaelakan

打开网页不报警，找不到cnnic.root，entrust那的三个选项本来就没打勾。这是啥情况？

RPG-7

http://www.sbanzu.com/topicdispl ... amp;TopicID=3072966

围观下书记

eph

我就想问下网易邮箱还能用么

河蟹很好吃

我只是说 ... 我是个好人 ... 我不做恶 ...

装过我的证书的同学不要殃及池鱼把我的证书也一并干倒啊 ...

107301
Sunyanzi 发表于 2010-2-2 14:17

怎么我的删除键是灰的?IE7被控制了?

spieler

你在这狡辩什么呢

CNNIC早就证明了他是一个不受信任,并危害他人安全的机构
你能举出有其他机构的证书有意危害过网络安全, 该证书一样该被吊销

这帖子讨论的是CNNIC造成安全问题,你一个劲的展示下限来有病么... ...
Sarah.Palin 发表于 2010-2-2 14:46

然而州长你就能举出cnnic的证书有意危害过网络安全？  谁主张谁举证好不好

这么基本的一个法律问题州长还要五角来教吗

最终空想

删了证书的意思不就是不上由CNNIC颁发证书的网站了，这个要抵制也是由网站来抵制啊，个人删除有什么用。因为CNNIC的证书就放弃网站的服务？

jing86

本帖最后由 jing86 于 2010-2-2 17:51 编辑

不用担心，要是CNNIC真拿证书干什么了，会有人24小时全天盯着的，这还没干啥呢就这样了。

ViVac

IE和opera都没发现CNNIC的证书.

Stuka

DNS劫持不是新鲜事了，如果域名强制备案里加入必须用CNNIC证书的话下文就是现实

　　1、攻击者伪造一个Gmail的SSL证书，使其中的域为mail.google.com或*.google.com，并设置合适的证书过期时间

　　2、攻击者等待访问者的浏览器访问Gmail时，通过DNS劫持或IP伪造（对于有路由器控制权限的黑客来说简直轻而易举）的方法使其访问到攻击者的服务器上

　　3、攻击者把伪造的SSL证书公钥发送给浏览器

　　4、浏览器验证SSL证书的域和过期时间都没错，认为访问到的就是Gmail本身，从而把对称密钥发送给黑客服务器

　　5、黑客服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器

　　6、访问者通过浏览器输入Gmail帐户，发送给黑客服务器，黑客服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码

　　为了抵御这种中间人攻击，SSL证书需要由可信的SSL证书颁发机构颁发，形成一个证书链（比如Gmail的证书链为：最底层为网域mail.google.com，上一层为Thawte SGC CA证书颁发机构，最顶层为很有名的VeriSign证书颁发机构）。那么，浏览器除了需要验证域和有效期外，还要检查证书链中的上级证书公钥是否有效，上级的上级证书公钥是否有效，直至根证书公钥为止。这样就可以有效避免中间人攻击了，因为根证书公钥都是预装在操作系统中的，黑客如果不是暴力破解，无法得到根证书的私钥，如果黑客自己生成一个私钥，浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密，从而判定这个公钥是无效的。这个方案也是现在https通讯通常的方案。

　　那么，这个现在所有的浏览器正在使用的https通讯方案就无懈可击了吗？答案仍是否定的。我们可以看到，在后一个方案中，https的安全性需要在证书颁发机构公信力的强有力保障前提下才能发挥作用。如果证书颁发机构在没有验证黑客为mail.google.com的持游者的情况下，给黑客颁发了网域为mail.google.com的证书，那么黑客的中间人攻击又可以顺利实施：

　　1、攻击者从一家不验证mail.google.com持有者的SSL证书颁发机构WoSign那里得到了网域为mail.google.com的证书，此证书的证书链为：最底层为网域mail.google.com，上一层证书颁发机构为WoSign，顶层证书颁发机构为VeriSign

　　2/3、第二、第三个步骤同上一个方案的中间人攻击的第二、第三个步骤

　　4、浏览器验证SSL证书的域和过期时间都没错，继续验证证书链：

　　　　4.1、最底层的网域mail.google.com证书公钥不在操作系统中，无法验证其访问到的就是Gmail本身，继续验证上一层证书颁发机构

　　　　4.2、上一层证书颁发机构WoSign的公钥也不在操作系统中，仍旧无法验证其有效性，继续验证上一层证书颁发机构

　　　　4.3、浏览器看到顶层证书颁发机构VeriSign的公钥在操作系统中，认为证书链有效，从而把对称密钥发送给黑客服务器

　　5/6、第五、第六个步骤同上一个方案的中间人攻击的第五、第六个步骤。黑客成功获得访问者的Gmail密码

　　然而，不验证域名持有者就颁发证书的情况在国外几乎不会发生，但是在国内就不一定了。针对破解目标，国内证书颁发机构WoSign（在此只是举例国内比较有名的证书颁发机构WoSign，并不代表WoSign今后一定会这么做）很有可能为了上级要求颁发了证书给非域名持有者的黑客，从而使得破解目标的Gmail密码被黑客截取。

　　那么，国内的破解目标是不是使用https的Gmail也无法保证安全了呢？

eph

嘛，反正对于一般人而言保密太难了，至少类似这种 DZ 论坛的密码是明文的，如果邮箱和论坛密码相同很容易得到，然后根据邮件顺藤摸瓜密码想要多少就有多少，这就不光是干掉证书能解决的了。

bubuyu

打开网页不报警，找不到cnnic.root，entrust那的三个选项本来就没打勾。这是啥情况？
michaelakan 发表于 2010-2-2 14:32

本来就不会报警吧，cnnic.net.cn或者cnnic.cn又不是https的

最终空想

109# Stuka


你这个的前提是服务器强制安装CNNIC发布的证书，这个可能吗。如果能做到这个，那些被强迫安装的服务器估计也可以完全内容提供了，还弄什么劳什子的域名劫持，利用代理获得内容

Junius

Firefox3.5也要设置
由 Anonymous Coward 在 星期二, 2010-02-02 01:44 发表。

我使用的是Firefox3.5.6版,访问了文中提到的两个网站,全部没有提示,直接打开!
前几天说3.6版添加了CNNIC的信任,就没有更新到3.6版,现在想来3.5版也不安全.
查看证书后,Entrust.net下发现CNNIC SSL,按文章中设置方法,3个选框全不不选,可还是不行.后发现要把Entrust.net下的最后一个Entrust.net Secure Server Certification Authority的3个选框也全不选(注意,Secure Server Certification Authority有两个,这个地方的是安全设备地方显示的是\"软件安全设备\"的那一个),就可以让CNNIC SSL失效.此时再访问那两个网站,就有安全提示啦!
另外,发现163邮箱登陆用的正是CNNIC SSL的证书,此时登陆有安全提示,我把这个添加到例外了.

jing86

本帖最后由 jing86 于 2010-2-2 23:59 编辑

91# mono

google工具条自己装上的人不还是有大把，跟cnnic那个玩意不都是一类软件，cnnic那个条有幸被偷偷装过一次后来找软件干掉了，这玩意不就是推广的时候偷偷强制安装，还有就是不怎么好使就是了。

正义魔

这东西躲不掉的，在国内上网一直是与裸奔无异

劝有些真聪明的人不要高看自己，还是先遁掉算了，重要的东西尽量不用网络。有些人你不要逼它，逼急了它会给你好看的……

剩下的人就当什么都没发生过，继续好了，反正还有比上网信息更不安全的地方呢，比如国内的银行（不是玩笑）

天祚星

116# Junius 那啥。。。两个都是Builtin Object Token啊
该选哪个？