CNNIC CA：最最最严重安全警告！

kina

http://autoproxy.org/zh-CN/node/66




各位，虽然此事与 AutoProxy 无关，但它对所有（也包括 AutoProxy）用户都是一个非常严重的安全威胁。我，WCM，AutoProxy 作者，以个人名誉强烈建议您认真阅读并采取措施。


背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。


发生了什么事

最近，CNNIC——对，就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！


意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

   1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
   2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
   3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？


影响范围

基本上所有浏览器的所有用户均受影响！


行动第一步：立即安全防御

在此只介绍 Firefox 浏览器的防御方法，其它浏览器的用户请自行 Google，原理类似。

    * 菜单栏：工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
    * 这是一个很长的列表，按照字母顺序，你应该能找到一个叫着 "CNNIC ROOT" 的记录，就是这个东西，告诉 Firefox，我们不信任它！
    * 选中 CNNIC ROOT，点击下面的“编辑”按钮，弹出一个框，应该有3个选项，把所有选项的勾都去掉！保存。
    * 还没有完，狡兔有三窟。
    * 接着往下找，有一个叫着 Entrust.net 的组，这个组里应该有一个 "CNNIC SSL" (如果没有，访问一下 这个网站 就有了)
    * 别急着下手，这回情况不一样，这个证书是 Entrust 签名的。我们信任 Entrust，Entrust 说它信任 CNNIC，所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条，同上面一样，把3个选项的勾都去掉，保存（提示：取消了对 Entrust 的信任以后，可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名，随便试了一下，没找到例子）。
    * 最后，让我们验证一下。重启 Firefox，打开 这个 和 这个 网站，如果Firefox 对这两个网站都给出了安全警告，而非正常浏览，恭喜，您已经摆脱了 CNNIC CA 的安全威胁！


行动第二步：治标还需治本

几天前听到这个消息的时候，我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末，我忽然觉得这样很不好。因为只要它存在，始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法：如果大部分人都处于安全威胁当中，一个人苟且偷安又有什么意义？如果不能将自由与安全的门槛降低一点点，所谓的技术又有什么好侥幸的？

所以我呼吁大家，贡献一点时间和知识，团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动，只有我们社区。

首先推荐的是 Firefox，作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论（注意，你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话，免遭讨厌。强调政治、GFW 的之类的不管用，必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段，或者申请成功后的某些行为违反了 Mozilla 的 CA 政策；比如它的属性和过往行为表明它不会忠于自己的职责，而(帮助)做出 MITM 这种 CA 共愤的事情）。

其次是 Entrust，它说它信任，导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重，因为它错误地信任了 CNNIC，大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信，因为此次事件我们不得不删除了 Entrust 的 CA，请求他们另选别家认证。如果反响强烈，势必给 Entrust 造成很大压力。

除此之外，来投个票吧（结果统计）！

最后，强烈建议大家，发现证书警告的时候最好直接关掉，不要轻易添加例外。证书的信任体系是一级依赖一级的，一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站，不妨定期（每周/每月）测一测，如果哪天你发现其中的任何一个网站没有证书警告，就要注意了！

各位：
DNS 劫持已然成为常态，不要让 SSL 劫持再次普及！此事刚刚发布，尚有评议空间。待时间流逝，你我皆成温水中之青蛙！

mushroommg

好 继续

明·镜·止

mark

希望

这会飞吗？
我感觉我的隐私正在被侵犯……

cather18

按照字母顺序，你应该能找到一个叫着 \"CNNIC ROOT\" 的记录


这个没找到,什么情况

琼恩·雪诺

同 没找到CNNIC ROOT

真灭天

哪个和哪个网站？

kina

没找到CNNIC ROOT的找下Entrust.net组,里面也有CNNIC SSL

shazuna

出于职业习惯， 我一般都会看一下正在浏览的网站的证书是谁颁发的。

叮叮

从哪个年代开始人们意识到了隐私这个玩意儿了………………？

RGm

MARK

罗科

没找到CNNIC ROOT的找下Entrust.net组,里面也有CNNIC SSL
kina 发表于 2010-2-2 01:25

最直接的办法，你访问一下cnnic.net.cn

=宫泽雪野=

从哪个年代开始人们意识到了隐私这个玩意儿了………………？
叮叮 发表于 2010-2-2 01:31

冠西哥那事儿之后

赤色彗星SE

IE的话直接 访问文中提到的两个网站，然后点击加密锁安装证书并把证书安装到不受信任的区域中就OK了

这证书一个到4月一个到10月马上就过期了吧

chronicle

opera没有相关cnnic的证书，entrust.net倒是有。

ie8则两者都找不到

kina

从哪个年代开始人们意识到了隐私这个玩意儿了………………？
叮叮 发表于 2010-2-2 01:31

难道你对自己的隐私毫不在意?即使是网上的隐私.

yy8838

人在做天在看

心里有鬼自然慌啊

yy8838

我银行卡账户密码不上网
-------------------

楼上，使用归谬法是邪道

ayako1986

人在做天在看

心里有鬼自然慌啊
yy8838 发表于 2010-2-2 03:18

原来良民就不能有隐私   
推荐firefox用户安装Certificate Patrol扩展
证书变了马上会提示

yy8838

原来良民就不能有隐私   
-----------------此结论推导失败-------------------

ncvnxn

不懂有多严重……
搞来权限就是为了窥探隐私？
我这等P民网银上那千儿八百的都被惦记到了，恐怕全国已经是一片恐慌了

yy8838

本帖最后由 yy8838 于 2010-2-2 08:53 编辑

受教了

天祚星

本帖最后由 天祚星 于 2010-2-2 05:37 编辑

这技术贴得MARK

Entrust下的CNNIC ROOT我把它删了，应该没事了吧

k.k

说得好，但这毫无意义

灰色幽灵

27# yy8838


我的看法有不同

说真的，我自己也不在乎楼顶这篇文章所写的东西
不过对于别人打算保护自己隐私的想法，还是要尊重的，不必出言反对

遠野美凪

最后一句话真是一个败笔啊

Elegy

CNNIC?貌似没用过

Junichoon

马克下,回去试试

Raistlin1984

mark一下

起飞

人在做天在看

心里有鬼自然慌啊
yy8838 发表于 2010-2-2 03:18

不懂有多严重……
搞来权限就是为了窥探隐私？
我这等P民网银上那千儿八百的都被惦记到了，恐怕全国已经是一片恐慌了
ncvnxn 发表于 2010-2-2 04:42

我觉得你这个推论是不对的。
LZ引用的信息也只是告诉我们，cnnic有可能会探知到一些非常私人的信息。

假设一下好了。如果有人（非官方）恶意利用了这个东西，盗走了别人的账号。这样的话，先不说自己的东西能不能要回来还是一个未知数，即使能要回来，也要花费大量的时间和精力。
小心一点总是没错的。
有隐私并不说明见不得人。如果别人能随意跑到你家参观，即使不拿什么东西，也总是不舒服的。

yy8838

有隐私并不说明见不得人。如果别人能随意跑到你家参观，即使不拿什么东西，也总是不舒服的。

赞同

kazz

mark一下

外野勇者

寒假愉快。。。。。
aj_wolf 发表于 2010-2-2 09:07

人家已经明白过来了你们就别老揪着不放了吧...