CNNIC!离我远一点

如果你能够打开https://www.enum.cn/，那么你一定要看下去。

今天逛论坛居然发现CNNIC被微软和firefox加入了信任证书发布者，我原来还没注意到！CNNIC，你能够被我们信任么？别说给别人签发SSL，你自己值得被信任么？

如果你也和我一样，那么继续看下去。

如果你安装了firefox请直接往下看。

如果没有安装firefox请跳到第二步。

1.打开firefox，工具 > 选项 > 高级 > 加密 > 查看证书，删除CNNIC SSL

注：网上流传的删除CNNIC ROOT并不正确，请只删除CNNIC SSL！

2.打开开始菜单，运行（或直接win+r），输入: certmgr.msc 打开证书控制台。下载CNNIC证书文件,解压得到三个证书。

回到证书管理器，展开不信任的证书 > 证书，在右侧右击，选择所有任务，导入。依次将下载的三个证书导入。

3.在证书管理器中展开“第三方根证书颁发机构” > “证书”，分别找到CNNIC ROOT和Entrust.net三个证书，右击选择"属性"，选择"停用所有目的"。

注：如果有CNNIC SSL证书请删除！

4.如果你安装了opera，请继续看，否则跳到第六步。

5.打开opera，依次选择“工具” > "首选项" > “安全性” > “管理证书” > “证书颁发机构” > 双击CNNIC ROOT和ENTRUST secure servercertification authority,将 "允许连接到使用该证书链接的网站" 去掉即可。

注:如没有找到这两项，请打开一次https://www.enum.cn。此网站本身并没有问题。

6.关闭并重新开启浏览器，尝试访问https://www.enum.cn，如果提示访问被拒或者证书错误即表示操作成功。恭喜，你离CNNIC远了。

注:网易邮箱（163免费和VIP收费）使用了CNNIC的证书，请在登录时去掉使用安全连接登陆选项！

感谢march的补充：

补充一点，如果是ie内核浏览，打开这个网站，（以傲游2为例），点地址栏的SSL图标，查看证书，安装证书，然后手动安装到“不受信任的证书”，刷新下，哈哈，内容已阻止

20 thoughts on “CNNIC!离我远一点”

先看看 2010年1月31日

我都不看他的

Reply ↓

reizhi Post author2010年1月31日

@先看看, 看看吧，这个是个大事

Reply ↓

罗泽阳 2010年1月31日

这个证书是干嘛的？

Reply ↓

reizhi Post author2010年1月31日

@罗泽阳, 是用来认证的，小心CNNIC！

Reply ↓

Firm 2010年1月31日

看得有点头晕。。。跳来跳去的。。。

Reply ↓

reizhi Post author2010年1月31日

@Firm, 建议查查google里相关的话题，最近很热

Reply ↓

星网 2010年1月31日

我的火狐确实打不开他！你确定是https://www.enum.cn/ 吗？不过IE到是可以打开！

Reply ↓

reizhi Post author2010年1月31日

@星网, 确定没错
如果IE能打开建议还是处理一下
firefox从3.6起加入了CNNIC SSL证书

Reply ↓

Магсн 2010年1月31日

绝对要支持！！！！！！！！！！！

Reply ↓

reizhi Post author2010年1月31日

@Магсн, 支持+1

Reply ↓

Магсн 2010年1月31日

Reply ↓

reizhi Post author2010年1月31日

@Магсн, 感谢补充，呵呵，已经加到文章里了

Reply ↓

diyidu 2010年1月31日

有点讽刺意味啊.

Reply ↓

reizhi Post author2010年1月31日

@diyidu, 真是很黄很暴力

Reply ↓

瓶子无芯 2010年2月3日

没想到FF3.6里藏着这个东西

Reply ↓

reizhi Post author2010年2月3日

@瓶子无芯, 其实这个算是旧闻了

Reply ↓

fanqi 2010年3月7日

CNNIC ROOT比CNNIC SSL 威胁大十倍！
SSL只能伪造网站。 ROOT干脆能伪造驱动程序、软件！

Reply ↓

clabccl 2010年3月19日

回复—–〉注:网易邮箱（163免费和VIP收费）使用了CNNIC的证书，请在登录时去掉使用安全连接登陆选项！
：
考虑到后果没有，不安全登陆，那可就是明文了，用户名密码都是明文。
我用viualshiff监听过在使用OUTLOOK 客户端收163邮件时的报文，用户名和密码都是明文。所以我估计web邮件也是明文如果没启用ssl。
我认为最好不要用163收发重要的邮件。但是令人觉得悲哀的是大陆的（免费〕电邮〔客户端收发）要末不提供ssl，要末就是cnnic签发的证书（多数是Entrust.net–>cnnic->邮箱供应商),web版的只知道sohu的不是cnnic的证书

Reply ↓

reizhi Post author2010年3月19日

明文并不可怕，只要没人监听。如果说个人邮件那明文也无所谓
我反正是没有什么重要邮件

Reply ↓

clabccl 2010年3月21日

使用cnnic证书的可怕之处，就在于可能会导致密文==明文，你想想看，如果cnnic同时实施dns劫持和证书替换，所有的加密通信都将很容易被cnnic窃听，这两件事现在cnnic都很容易做到。所以有人质疑microsoft加入cnnic可信根证书颁发机构，我觉得是有道理的。cnnic是工信部下属单位，又具有管理互联网的职能,并且名声不好，microsof不应该把这样一个机构加入可信根，这是我的看法。另附两篇网文：
ssl中间人攻击:http://tech.techweb.com.cn/thread-426873-1-1.html
cnnic证书：http://blog.csdn.net/program_think/archive/2010/02/16/5309699.aspx

Reply ↓

20 thoughts on “CNNIC!离我远一点”

发表回复 取消回复

发表回复取消回复