从电脑中移除CNNIC证书

    最近网上关于CNNIC伪造知名证书的事情已经闹的沸沸扬扬,现在已经有GoogleMozilla宣布在各自产品中对全部或部分CNNIC证书不在信任。对此CNNIC对于伪造未授权的证书声明如下:

 3月24日,有关媒体发布“谷歌称CNNIC发布用于中间人攻击证书”的报道,CNNIC声明如下:
1、CNNIC未发布用于中间人攻击的证书,谷歌博客近日也未指责是CNNIC发布了用于中间人攻击的证书。
2、CNNIC 服务器证书业务合作方MCS公司确认其不当签发的测试证书仅用于其实验室内部测试。
3、CNNIC已于3月22日撤销对MCS公司的业务授权。
4、CNNIC保留追究法律责任的权利。

中国互联网络信息中心(CNNIC)
2015年3月25日

接下来是关于Google在全线产品中不信任其证书的声明:

一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
二、CNNIC将切实保障已有用户的使用不受影响。

中国互联网络信息中心(CNNIC)
2015年4月2日
        对于这种事实上已经造成了非授权证书被使用的信用破产机构居然还能如此厚颜无耻的连续发这么多条声明,我只能说你不要脸,XX还要脸。
        Goolge和Mozilla虽然已经不再信任CNNIC办法的证书,但CNNIC ROOT证书依然还存在于系统的根证书列表里,在CNNIC未对这次事件作出解释和道歉之前,让其证书出现在受信任的根证书列表里是个极大的信息安全隐患。下面是网上收集的关于如何从电脑中剔除CNNIC证书的操作方法:

保留CNNIC证书的危害
 ◇“中间人攻击”的风险中间人攻击的风险,是最危险的,也是最经常被提及。

CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)不用多说。既然CNNIC已经成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后,再配合进行DNS的域名污染。那就可以轻松搞定任何网站的HTTPS加密传输。

◇ActiveX控件的风险

另外一个大伙儿不太关注的风险,是关于ActiveX控件的问题。前几年,很多恶意软件(包括流氓软件、木马)都是通过IE控件的技术,安装到大伙儿的电脑上。后来微软加强了多ActiveX控件的验证:在IE的默认设置下,对于没有数字签名的ActiveX控件,是拒绝安装滴;而对于有数字签名的控件,则会给出提示。

因此,CNNIC可以很轻松地给自己的ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。

如何从电脑中剔除CNNIC证书

其实网上关于如何去掉证书的操作指南,多如牛毛,所以就简单说一下。

有些浏览器(IE、Chrome、Safari)使用的是操作系统的证书体系。这种情况下,你需要把CNNIC证书从操作系统的证书体系中去掉。还有些浏览器(比如Firefox、Opera)是自己带了一套证书体系。你只要在其配置界面,把不要的证书去除即可。下面分不同的浏览器,不同的操作系统,分别介绍。

◇清理Windows的证书(适用IE、Chrome、Safari)

对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:

1. 运行Windows的证书管理器(到命令行执行certmgr.msc)。

2. 选中“受信任的根证书颁发机构”=>“证书”。

3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。

4. 先翻墙到“这个页面”下载现成的CNNIC证书(要解压缩出来)。

5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。

6. 出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。

7. 选中CNNIC证书,点右键。在右键菜单中点“属性”。

8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。

9. 最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。

注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。

◇清理苹果Mac OS的证书(适用Safari、Chrome)

对于使用Mac OS下的Safari或Chrome浏览器,则需要执行如下步骤:请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到CNNIC的证书并双击,改为“永不信任”。

◇清理Linux的证书(适用Chrome、Safari)

对于Debian和Ubuntu系统,以管理员权限进行如下操作:

方法1:运行命令:dpkg-reconfigure ca-certificates 会出现一个图形界面,把CNNIC证书不选,并确认。

方法2:编辑 /etc/ca-certificates.conf 文件,把CNNIC证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。

注:对于其它Linux发行版本,操作类似。

◇清理Firefox的证书

不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:

1. 从菜单“工具”=>“选项” ,打开选项对话框

2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。

3. 在证书对话框中,切换到“证书机构”。

4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。

注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。

◇清理Opera的证书

不论是在哪个操作系统下,只要你用的是Opera浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:

1. 从菜单“工具”=>“首选项” ,打开首选项对话框

2. 切换到“高级”标签页,在左边选择“安全性”这项。

3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。

4. 找到CNNIC的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉

注:这是基于Opera 10.10进行操作。新版本的界面可能略有差异。

如何确认已经剔除了CNNIC证书

为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.cnnic.cn 记得用 HTTPS 协议哦。

如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)

如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。

剔除CNNIC证书后可能出现的问题

有些国内网站已经开始使用CNNIC的证书,目前已经知道的有163邮箱(真鄙视网易)。但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。

本文关于剔除CNNIC方法的介绍源自网络,原作者:编程随想,原文链接;文章经过月光博客改编,原文链接现在国内关于CNNIC证书的报道除CNNIC官方声明外,很多其他报道都已被删除或无法访问,不知这是做贼心虚还是什么?

参考资料:

[1]中国大陆颁发的证书一览表

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注