CNNIC!离我远一点

By | 2010年1月31日

如果你能够打开https://www.enum.cn/,那么你一定要看下去。

今天逛论坛居然发现CNNIC被微软和firefox加入了信任证书发布者,我原来还没注意到!CNNIC,你能够被我们信任么?别说给别人签发SSL,你自己值得被信任么?

如果你也和我一样,那么继续看下去。

如果你安装了firefox请直接往下看。

如果没有安装firefox请跳到第二步

1.打开firefox,工具 > 选项 > 高级 > 加密 > 查看证书,删除CNNIC SSL

注:网上流传的删除CNNIC ROOT并不正确,请只删除CNNIC SSL!

2.打开开始菜单,运行(或直接win+r),输入: certmgr.msc 打开证书控制台。下载CNNIC证书文件,解压得到三个证书。

回到证书管理器,展开不信任的证书 > 证书,在右侧右击,选择所有任务,导入。依次将下载的三个证书导入。

    

3.在证书管理器中展开“第三方根证书颁发机构” > “证书”,分别找到CNNIC ROOT和Entrust.net三个证书,右击选择"属性",选择"停用所有目的"。

注:如果有CNNIC SSL证书请删除

4.如果你安装了opera,请继续看,否则跳到第六步

5.打开opera,依次选择“工具” > "首选项" > “安全性” > “管理证书” > “证书颁发机构” > 双击CNNIC ROOT和ENTRUST secure servercertification authority,将 "允许连接到使用该证书链接的网站" 去掉即可。

注:如没有找到这两项,请打开一次https://www.enum.cn。此网站本身并没有问题。

6.关闭并重新开启浏览器,尝试访问https://www.enum.cn,如果提示访问被拒或者证书错误即表示操作成功。恭喜,你离CNNIC远了。

注:网易邮箱(163免费和VIP收费)使用了CNNIC的证书,请在登录时去掉使用安全连接登陆选项

 

感谢march的补充:

补充一点,如果是ie内核浏览,打开这个网站,(以傲游2为例),点地址栏的SSL图标,查看证书,安装证书,然后手动安装到“不受信任的证书”,刷新下,哈哈,内容已阻止

20 thoughts on “CNNIC!离我远一点

    1. reizhi 博主

      @星网, 确定没错
      如果IE能打开建议还是处理一下
      firefox从3.6起加入了CNNIC SSL证书

      回复
  1. Магсн

    补充一点,如果是ie内核浏览,打开这个网站,(以傲游2为例),点地址栏的SSL图标,查看证书,安装证书,然后手动安装到“不受信任的证书”,刷新下,哈哈,内容已阻止

    回复
  2. fanqi

    CNNIC ROOT比CNNIC SSL 威胁大十倍!
    SSL只能伪造网站。 ROOT干脆能伪造驱动程序、软件!

    回复
  3. clabccl

    回复-----〉注:网易邮箱(163免费和VIP收费)使用了CNNIC的证书,请在登录时去掉使用安全连接登陆选项!

    考虑到后果没有,不安全登陆,那可就是明文了,用户名密码都是明文。
    我用viualshiff监听过在使用OUTLOOK 客户端收163邮件时的报文,用户名和密码都是明文。所以我估计web邮件也是明文如果没启用ssl。
    我认为最好不要用163收发重要的邮件。但是令人觉得悲哀的是大陆的(免费〕电邮〔客户端收发)要末不提供ssl,要末就是cnnic签发的证书(多数是Entrust.net-->cnnic->邮箱供应商),web版的只知道sohu的不是cnnic的证书

    回复
    1. reizhi 博主

      明文并不可怕,只要没人监听。如果说个人邮件那明文也无所谓
      我反正是没有什么重要邮件

      回复
  4. clabccl

    使用cnnic证书的可怕之处,就在于可能会导致 密文==明文,你想想看,如果cnnic同时实施dns劫持和证书替换,所有的加密通信都将很容易被cnnic窃听,这两件事现在cnnic都很容易做到。所以有人质疑microsoft加入cnnic可信根证书颁发机构,我觉得是有道理的。cnnic是工信部下属单位,又具有管理互联网的职能,并且名声不好,microsof不应该把这样一个机构加入可信根,这是我的看法。另附两篇网文:
    ssl中间人攻击:http://tech.techweb.com.cn/thread-426873-1-1.html
    cnnic证书:http://blog.csdn.net/program_think/archive/2010/02/16/5309699.aspx

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注