蓝点网
给你感兴趣的内容!

清除CNNIC根证书(一):CNNIC根证书的危害

什么CNNIC?

CNNIC是中国互联网的说不清干什么的机构,也是合法的CA机构,可以颁发CA证书,上级主管部门是工信部。

什么是证书?

就是你使用百度、Google搜索时,会发现地址栏是绿的,你登陆到蓝点网的后台,看下地址栏,也是绿色的。这代表该域名启用了HTTPS加密(SSL),使用HTTPS可以提高你使用互联网的安全性、加密你与服务器之间的通信内容,确保你与服务器的通讯数据不被他人窃取。

在这里我们还要提到“中间人攻击”,当前中间人攻击发生的频率已经越来越高,对于已经启用HTTPS的站点,如果该站点被中间人攻击,那么浏览器会显示红色的警告标志,提醒用户不要继续访问。

然而,现在越来越多中间人攻击开始伪造站点的SSL证书,企图来欺骗浏览器从而达到浏览器不报警。

但是这种情况成功实施的概率是小之又小,而一些通过“正规”手段获得的证书,却越来越多。

这里我们引入前几天发生的一个情况:

2015年的3月20日,Google官方博客称发现多个伪造Google域名的假证书,这些证书的颁发机构是中级CA机构–埃及的MCS。而MCS的中级证书则是由中国的CNNIC颁发,而CNNIC作为根CA被几乎所有的操作系统和浏览器所信任,这就导致了Google域名被劫持而浏览器不会发出报警信息,用户便陷入通信数据被窃取的勾当里。

Google联系CNNIC,CNNIC则回应称,中级CA MCS本应该只向它注册的域名发行证书,而在本次事件中,CNNIC向MCS颁发了一个无约束的中级证书,MCS将该证书安装在一个防火墙设备上充当中间人代理,用于执行加密拦截(SSL MITM)。

事后,Google称Chrome浏览器CRLSet更新,Chrome不需要做任何操作,浏览器会对该证书进行拦截。

而Mozilla也迅速回应,Mozilla发言人称,在Firefox 37中,将吊销MCS颁发所有的中级证书。

如果你看完上面觉得还是没明白这到底什么意思,那我们继续举例,以Google旗下邮箱服务Gmail为例:

Gmail网页版也就是http://mail.google.com,该网址使用的是Google自行颁发的证书,这些证书是被浏览器和操作系统信任的,如果你现在还能打开前面的网址,你可以看到地址栏是绿色的HTTPS标志。

众所周知Google、Gmail在中国都无法使用,但如果你可以访问的话,那么你也得注意,浏览器地址栏可能还是绿色的安全标志,但却不一定是真的安全。

上文中提到的由根CA机构CNNIC颁发的中级CA机构埃及MCS伪造的假证书中就有Gmail的,如果你当时访问Gmail,那么你的通信数据可能已经被全部截获。

而这份假证书,根CA是CNNIC,中级CA是MCS,如下图:

如果说到这里你还不明白这有什么问题的话,那我们直说:

CNNIC作为受信任的根CA,如果它愿意,它可以随便伪造国内外任何站点的SSL证书,配合*城防火墙DNS污染,它可以在国内发起对任何网站的中间人攻击、截获通信数据。

你以为它没干过?错了,已经干过了,MCS伪造证书这次就是最新的,之前干过的有兴趣你可以自己去搜索下。

so,我们建议,在你的系统里清除CNNIC证书。

 

 

转载请注明来源于蓝点网及本文链接:蓝点网 » 清除CNNIC根证书(一):CNNIC根证书的危害
分享到:更多 ()
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #4

    某国的东西只有他自己那几千万人相信了。应该说他们自己也不相信。

    东东2年前 (2015-03-26)回复
  2. #3

    木头科学二百五2年前 (2015-03-26)回复
  3. #2

    好深奥。。。。。。

    你看不见我的ID2年前 (2015-03-26)回复
  4. #1

    记得推上有评论CNNIC:当年你国奥运会体操运动员年龄作假,其他国家都骂奥委会,奥委会也是很无奈,说,我也是没办法的,谁让是国家颁发的运动员资格证

    我祗是2年前 (2015-03-26)回复