网络安全证书

知乎｜如何看待 Mozilla 决定停止信任沃通和 StartCom 证书？

2016年9 月28日

Mozilla 公布了对沃通CA不当行为的13页调查报告，正式提议将停止信任 WoSign 和 StartCom 签发的新证书，最短期限为一年，一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。
调查报告称，沃通 CA 存在的部分问题不严重或不是它的过错，但还有部分问题极其严重，从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对 SHA-1 证书的限制。由于 SHA-1 签名证书不再安全，主要浏览器开发商要求所有 CA 在 2016 年1月1日之后停止签发 SHA-1 证书，然而沃通 CA 在 2016年1月1日之后仍然签发了 SHA-1 证书，通过故意倒填日期，将这些证书伪装成是在 2016 年前签发的。另一个问题是 WoSign 收购 StartCom ，即使有充足的证据证明WoSign CA 已经100%收购 StartCom CA，公司 CEO 王高华仍然拒绝承认，直到最后 WoSign 的母公司奇虎 360 现身才予以承认，但王高华又坚称 StartCom 独立运营，其原始系统没有发生改变，然而有充分的技术证据证明 StartCom 在被收购一个半月后，它就开始使用 WoSign 的基础设施签发证书。StartCom 的网站 http://StartSSL.com 在 2015年12月18日关

月光博客 | 为什么不要在中国注册域名

2016年3 月29日

我认为，无论是企业还是个人，在做网站的时候，都不要在中国注册域名，因为这里面有巨大的安全风险，如果已经在中国注册了域名，应该尽快将域名转移（transfer）到国外，以避免风险。政策性风险：国内注册域名的最大风险就是政策性风险，你的域名随时可能会因为种种原因而被停用，虽然这个域名是你掏钱购买注册的，但在中国，你注册的域名根本不属于你自己，你的域名随时都处于被‌‌“clientHold（域名暂停解析）‌‌”的状态，可能仅仅因为你网站上的一条留言、一个评论，就会让你的域名被永久封禁。所以，注册域名，必须在美国这样的法治国家注册，你的域名才真正属于你自己。而在国外注册域名，除了恶意侵权之外，基本上没有什么政策风险，不会被‌‌“clientHold‌‌”，你的域名属于你自己。

翻墙 | CNNIC封杀自己对根证书被撤销的声明

2015年4 月8日

谷歌于2015年4月1日宣布，他们将不再承认CNNIC根和EV证书颁发机构（CAs）。在第二天，Mozilla也发表博文称：CNNIC给其他公司发行不受约束的中间证书是“令人震惊的做法”，而Mozilla的产品将不再信任由CNNIC根颁发的任何证书。 Mozilla还发表了关于他们的更详细的报告。在谷歌和Mozilla于2015年3月23日曝光了几个谷歌域名使用了未经批准的数字证书之后，CNNIC并未发表任何声明。CNNIC身为证书颁发机构，却一直在实施中国的网络审查。CNNIC不仅曾是，现在也是，并且将来还是会继续实施中国的互联网审查。不出意外，上述关于4月1日和2日的新闻在中国的社交媒体和传统媒体上被封杀了。下面是关于这些公告的微博截图。请注意，在第一篇关于谷歌全面撤销CNNIC的根证书的截图中，下方有三个按钮，而在第二个截图中却有四个按钮，很明显能看出第一篇微博的转发功能消失了，可见中国当局正在如何防止负面信息蔓延上变得越来越有创意！最后这篇微博的命运和往常一样，被当局完全删除了。即便在传统媒体网站上也有一些详细介绍了CNNIC对此“毫不知情”的报道，也已经被封杀。网易的报道：“Chrome和Mozilla撤销了CNNIC CA”在发布后2小时之内就被删除。网易是中国最大的互联网服务提供商之一。URL：http://tech.163.com/15/0403/08/AM8VPOLJ000915BF.html新浪的报道：“CNNIC认为谷歌的决定是不可理解和不可接受的”被删除。新浪网是中国最大的门户网站之一。URL: http://tech.sina.com.cn/i/2015-04-02/doc-ichmifpy5387951.shtml搜狐的报道：“CNNIC谴责谷歌”已被删除。搜狐在全网Alexa排名第44。URL: http://mt.sohu.com/20150402/n410717100.shtml开源中国的报道：“谷歌撤销CNNIC和EV根CA”被删除。开源中国是中国最大的开源社区。URL: http://www.oschina.net/news/61141/maintaining-digital-certificate-security财经网的报道：“谷歌撤销了CNNIC CA;，CNNIC认为这个决定无法理解“被删除。财经网是一个独立的媒体，涵盖社会，政治和经济问题。URL: http://tech.caijing.com.cn/20150402/3854320.shtml事实上，几乎所有关于CNNIC的负面报道在中国都被封杀了。这里有上周关于CNNIC CA中谷歌和Mozilla被大规模封杀的报道。CNNIC发表了一个声明说：“CNNIC对谷歌公司做出的决定表示难以理解和接受，并敦促谷歌公司充分考虑和保障用户权益”。我们同样可以说，CNNIC和中国网信办（CAC）对谷歌（和Facebook和Twitter，还有更多的网站）做出的决定对中国互联网用户来说是难以理解和接受的。谷歌充分考虑和保障了用户权益—撤销CNNIC是对世界各地用户隐私和安全的一个很大的进步。CNNIC实施（并试图掩盖）互联网审查，制作恶意软件，并且在安全方面一塌糊涂。中国网信办，它管理着CNNIC，发动了多次恶意的危险的攻击，危及用户的敏感信息，劫持用户执行DDoS攻击。很多精通技术的用户再多年前就把CNNIC从可信证书颁发机构移除了。我们欢迎谷歌和Mozilla从全球吊销CNNIC的决定。同时我们希望苹果和微软能够效仿谷歌和Mozilla的先见之明，立即撤销CNNIC来保护他们的用户。FAQ你觉得微软和苹果会跟风么？我们不指望苹果能在当下站出来做些事情。苹果向来顺从中国当局的要求，我们估计他们并没有这种觉悟。微软已经采取了重要措施来反击中国当局危险的行为，我们希望他们将继续保持。如果微软和苹果不作为，你会建议人们只使用Chrome和Firefox来浏览么？是的。这是什么意思？CNNIC将继续颁发证书么？也许吧。至少现在 Internet Explorer和Safari浏览器，以及其他中国的浏览器仍然信任CNNIC CA.谷歌和Mozilla会承认任何新的证书么？不会。如果谷歌，Mozilla，微软和苹果都撤销CNNIC了证书，这是否意味着中国将不能再搞MITM攻击了？以前所有的大规模MITM攻击都使用自签名证书。 GFW可以继续使用MITM使用自签名CA攻击网站。CNNIC需要多长时间才能找回到这些公司的信任？谷歌和Mozilla已经要求CNNIC实现证书的透明性。如果CNNIC能够通过，任何人都可以使用CNNIC实时颁发的证书。因此，即使我们可能不信任CNNIC，如果他们实现了证书的透明，我们也不反对。源地址：https://zh.greatfire.org/node/1752860翻墙技术博客订阅地址及社交帐号

翻墙 | CNNIC发表声明谴责Google

2015年4 月2日

在Google宣布旗下产品删除CNNIC根证书之后，CNNIC发表中英文声明（中文）谴责Google。声明称，Google的决定是“难以接受的”和“难以理解的”，CNNIC督促Google充分考虑和保障用户的权利和利益。CNNIC称将保障已发行的证书不受此次事件的影响。Google的Chrome浏览器在中国相当流行。源地址：http://www.solidot.org/story?sid=43561翻墙技术博客订阅地址及社交帐号

【真理部】删除“谷歌称CNNIC发布中间人攻击证书”一文

2015年3 月26日

CNNIC发布的根证书多年以来一直遭到各界诟病，而呼吁主流浏览器及个人用户拒绝信任其发表证书的声音也从未消失。谷歌和Mozilla近日分别对CNNIC所发布的中间人攻击证书进行曝光和谴责，知名技术博客...

月光博客 | 谷歌称CNNIC发布中间人攻击证书

2015年3 月24日

根据谷歌官方安全博客报道，谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。该证书冒充成受信任的谷歌的域名，被用于部署到网络防火墙中，用于劫持所有处于该防火墙后的HTTPS网络通信，而绕过浏览器警告。...

月光博客 | 谷歌发现用于中间人攻击的证书

2015年3 月24日

根据谷歌官方安全博客报道，谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。...

删除CNNIC根证书的上网安全教程(110409更新)

2011年4 月12日

来源： http://allinfa.com/delete-cnnic-root.html 删除CNNIC根证书的上网安全教程，20110409更新完整教程，内容包括如何删除（停用）系统或各种流行的浏览器中的CNNIC证书的方法，为了上网的安全和安全使用网上银行帐号等，建议国内和国外用户都删除（停用）CNNIC证书。美博园郑重推荐，这是目前最完整的删除CNNIC根证书安全上网的教程。 2011-04-09 如何删除（停用）系统或浏览器中的CNNIC证书V 1.32 下载地址1（�6 网盘）：删除CNNIC证书V 1.32（deletecnnic.zip）下载地址2（Box网盘）：删除CNNIC证书V 1.32（deletecnnic.zip）下载地址3（MediaFire网盘）：删除CNNIC证书V 1.32（deletecnnic.zip）下载地址4（Dropbox网盘）：删除CNNIC证书V 1.32（deletecnnic.zip） MD5 、 SHA1 验证值： File: deletecnnic.zip Size: 582,639 MD5: 89280F2EAFC2BA7EAD131CBA018581C5 SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5 ―――� 2011-04-09 之前的文章描述 ―――――� 一、为什么要删除（停用）系统中的CNNIC证书（CNNIC根级证书的危害性） CNNIC就是中国互联网络信息中心，由于其强权霸道的作风，CNNIC 在中国网民中被称为最大的流氓机构，Firefox和微软在最近的根证书升级列表里面将CNNIC列为”受信任的根证书发行机构”。这样，以后通过 https协议（即以前的安全保障ssl加密）访问经过CNNIC颁发证书的网站将不会觉察到任何告警，用户也不需要在像安装某些软件时导入根证书。因为一些人控制了国内域名服务，随意封网，咔网，所以它们做一个假的网站对国内用户攻击就非常容易了，你的Firefox浏览器或IE浏览器访问时不会跳出任何警告而直接让你去登陆，而以前你的 Firefox会拒绝访问的，也就是说以前有些人做不到的攻击现在可以成为现实了。为避免受其害，下面给出解决方法。二、如何删除WINDOWS系统中的CNNIC证书此方法适用于基于微软CA目录的浏览器,这类浏览器包括IE系列(微软公司)、Chrome(谷歌公司)、Safari(苹果公司)、Dragon(Comodo公司) 第一步、导入CNNIC证书到证书管理器中的信任区域，并停用证书 1 下载CNNIC证书：下载CNNIC证书，解压后,将会得到CNNIC证书的三个文件: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt（注：序列号37:4A:D2:43）下载证书： CNNIC证书下载 2 打开操作系统的证书管理器: 鼠标点击左下角的”开始”―> “运行” ―> 输入certmgr.msc ―> 确定此时已打开Windows的证书管理器。 3 安装证书到受信任的根证书颁发机构栏目中，然后再停用证书：分别双击这三个文件，会出现安装界面，按提示安装，在安装过程中，一直选中默认的设置即可。即: 双击证书文件�> 安装证书�> 下一步―> 点选：根据证书类型,自动选择证书存储区―> 下一步―> 完成―-提示导入成功。如果在此完成过程中,系统防火墙出现警告提示,那么请选择肯定的答复是(Y) 安装后， CNNIC ROOT和Entrust.net Secure Server Certification Authority位于证书管理器中的在受信任的根证书颁发机构――证书目录下， CNNICSSL在中级证书颁发机构―�证书目录下，（注：在win7中，这三个证书都出现在中级证书颁发机构―�证书目录下）现在停用此三个证书文件，方法是:分别鼠标右键点击条目―点属性―属性菜单打开―选择停用这个证书的所有目的(I)（注：在win7中，禁用这个证书的所有目的(I)）―> 确定第二步、安装证书到”不信任的证书”区域: 分别双击这三个文件按提示安装,在安装过程中,一直选中默认的设置: 双击文件�> 安装证书�> 下一步�> 点选：将所有的证书放到下列存储区域�> 浏览�> 选择”不信任的证书”�> 下一步―> 完成―-提示导入成功。如果在此完成过程中,系统提示警告提示,那么请选择肯定的答复是(Y) 第三步、其他说明 ◆ 对于微软的CA目录的证书修改，大家容易产生歧义。或许要问到为什么要导入到信任区域，其实这个过程是配合第二步的停用此证书来使用的，因为如果信任区域中如果没有CNNIC证书的话，那么在网络活动中，在访问加密站点时，有可能系统会自动更新证书，使CNNIC证书加入系统中，并激活。如果在信任区域中有此证书但是处于停用状态的话，就不会自动更新。系统会知道你是不信任此证书的。 ◆ 此方法适合于采用微软CA目录的浏览器,比如:IE、Chrome、Safari、Dragon 三、如何删除Firefox 3.6中的CNNIC证书打开Firefox ，点击工具―> 选项―> 高级―> 加密―> 查看证书―> 证书机构找到CNNIC和CNNICSSL项，删除即可。然后再找到Entrust.net Secure Server Certification Authority项删除，注意此项可能有二个，删除序列号37:4A:D2:43的就可以了，查看序列号的方法是选中此项目后，点击”查看(V)” 特别说明: 1. 默认的Firefox的证书中可能没有CNNIC SSL 所以为避免其访问加密站点时自动安装�来，所以可以先行导入，导入方法是在Firefox的证书管理器中，按导入（M）按钮后，选取CNNICSSL.CRT，按默认操作导入即可； 2.在Firefox里对自带根证书执行”删除”操作命令，就相当于是禁用其所有目的，并不会将其删除. 验证方法是：比如点击选中CNNIC ROOT 后，再点击”编辑”按钮，可以查看到其信任设置框已取消了，即选框中的几个选项全部没有选中。四、如何在opera浏览器中删除CNNIC证书在Opera浏览器中也需要事先导入此三个证书：方法是：启动Opera浏览器后,点工具―> 首选项―> 高级―> 安全性―> 管理证书―> 颁发机构―> 导入― > 需要分别选择 CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt―> 安装，Entrust.net Secure Server Certification Authority安装后显示为Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的证书也是在Opera中的证书管理器―> 中间证书认证中导入安装的。现在开始在Opera中停用此证书: 依次点击工具―> 首选项―> 高级―> 安全性―> 管理证书―> 证书颁发机构（或中间证书认证）―> 分别双击三个证书―> 取消”允许连接到使用此证书的网站” ―> 确定。五、为Mac的Safari屏蔽CNNIC根证书 CNNIC也作为Mac的系统根证书存在,我们可以把它设置为”不信任”。那么当你用Safari打开使用CNNIC签发的CA证书的网站时，同样会有提示。具体方法如下: 1、打开”钥匙串”，并且在左侧面板找到”系统根证书”，然后在右侧面板找到”CNNIC”。 2、然后双击查看证书，在最上面有”信任”项目，点左边的三角将其打开。然后按照下图将证书设置为”永不信任” 3、然后会让你输入用户名和密码。输入后确定。这样，CNNIC就永远不会被信任了。六、结果测试一般按教程步骤操作正确的话，应该就没有问题了。七、关于停用CNNIC证书的浏览器在线更新问题请注意，所有停用CNNIC证书的浏览器，请继续保持其在线更新的状态，以保证浏览器处于最安全的状态，浏览器的在线自动更新并不影响已停用的CNNIC证书，CNNIC证书的停用状态仍然有效。八、关于CNNIC根级证书三个证书存在状态的说明 CNNIC的根级证书一共有三个：分别是 CNNIC ROOT CNNIC SSL Entrust.net Secure Server Certification Authority（注：序列号37:4A:D2:43）这三个证书文件在某些系统或是浏览器中并不一定会同时存在的，但是，在任何一个情况下，如果只存在其中的任意一个或是任意二个，那么都得按本文所陈述的方法处理。九、关于部分银行网站使用CNNIC签名问题对安全性要求较高的用户可以使用停用了CNNIC证书的浏览器来浏览海外网站，当不得不用CNNIC的根证书时，（因为国内的一些银行网站是使用了CNNIC证书的，但不建议在破网的系统里使用网上银行），可以换用其他没有停用CNNIC证书的浏览器。本文标题：美博园 – 删除CNNIC根证书的上网安全教程(110409更新) 本文链接： http://allinfa.com/delete-cnnic-root.html ――――――――――――――――――――――――――――――――――――――――― 需要翻墙利器赛风? 请阅读和关注中国数字时代。推特用户请点击这里免翻墙上推特请点击这里下载翻墙软件更多翻墙方法请发电邮(最好用Gmail)到： fanqiang70ma@gmail.com 请阅读和关注中国数字时代、翻墙技术博客 GFW BLOG （免翻墙）请使用 Google Reader 订阅中国数字时代中文版（ http://chinadigitaltimes.net/chinese/feed ），阅读最有价值的中文信息；以及 GFW BLOG（功夫网与翻墙） http://feeds2.feedburner.com/chinagfwblog ，获取最新翻墙工具和翻墙技巧信息。要翻墙?