蓝点网
给你感兴趣的内容!

清除 CNNIC 根证书(一):CNNIC 根证书的危害

什么 CNNIC?

CNNIC 是中国互联网的说不清干什么的机构,也是合法的 CA 机构,可以颁发 CA 证书,上级主管部门是工信部。

什么是证书?

就是你使用百度、Google 搜索时,会发现地址栏是绿的,你登陆到蓝点网的后台,看下地址栏,也是绿色的。这代表该域名启用了 HTTPS 加密(SSL),使用 HTTPS 可以提高你使用互联网的安全性、加密你与服务器之间的通信内容,确保你与服务器的通讯数据不被他人窃取。

在这里我们还要提到“中间人攻击”,当前中间人攻击发生的频率已经越来越高,对于已经启用 HTTPS 的站点,如果该站点被中间人攻击,那么浏览器会显示红色的警告标志,提醒用户不要继续访问。

然而,现在越来越多中间人攻击开始伪造站点的 SSL 证书,企图来欺骗浏览器从而达到浏览器不报警。

但是这种情况成功实施的概率是小之又小,而一些通过“正规”手段获得的证书,却越来越多。

这里我们引入前几天发生的一个情况:

2015 年的 3 月 20 日,Google 官方博客称发现多个伪造 Google 域名的假证书,这些证书的颁发机构是中级 CA 机构– 埃及的 MCS。而 MCS 的中级证书则是由中国的 CNNIC 颁发,而 CNNIC 作为根 CA 被几乎所有的操作系统和浏览器所信任,这就导致了 Google 域名被劫持而浏览器不会发出报警信息,用户便陷入通信数据被窃取的勾当里。

Google 联系 CNNIC,CNNIC 则回应称,中级 CA MCS 本应该只向它注册的域名发行证书,而在本次事件中,CNNIC 向 MCS 颁发了一个无约束的中级证书,MCS 将该证书安装在一个防火墙设备上充当中间人代理,用于执行加密拦截(SSL MITM)。

事后,Google 称 Chrome 浏览器 CRLSet 更新,Chrome 不需要做任何操作,浏览器会对该证书进行拦截。

而 Mozilla 也迅速回应,Mozilla 发言人称,在 Firefox 37 中,将吊销 MCS 颁发所有的中级证书。

如果你看完上面觉得还是没明白这到底什么意思,那我们继续举例,以 Google 旗下邮箱服务 Gmail 为例:

Gmail 网页版也就是 http://mail.google.com,该网址使用的是 Google 自行颁发的证书,这些证书是被浏览器和操作系统信任的,如果你现在还能打开前面的网址,你可以看到地址栏是绿色的 HTTPS 标志。

众所周知 Google、Gmail 在中国都无法使用,但如果你可以访问的话,那么你也得注意,浏览器地址栏可能还是绿色的安全标志,但却不一定是真的安全。

上文中提到的由根 CA 机构 CNNIC 颁发的中级 CA 机构埃及 MCS 伪造的假证书中就有 Gmail 的,如果你当时访问 Gmail,那么你的通信数据可能已经被全部截获。

而这份假证书,根 CA 是 CNNIC,中级 CA 是 MCS,如下图:

如果说到这里你还不明白这有什么问题的话,那我们直说:

CNNIC 作为受信任的根 CA,如果它愿意,它可以随便伪造国内外任何站点的 SSL 证书,配合*城防火墙 DNS 污染,它可以在国内发起对任何网站的中间人攻击、截获通信数据。

你以为它没干过?错了,已经干过了,MCS 伪造证书这次就是最新的,之前干过的有兴趣你可以自己去搜索下。

so,我们建议,在你的系统里清除 CNNIC 证书。

 

 

转载请注明来源于蓝点网及本文链接:蓝点网 » 清除 CNNIC 根证书(一):CNNIC 根证书的危害
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #4
    Unknown Unknown Unknown Unknown

    某国的东西只有他自己那几千万人相信了。应该说他们自己也不相信。

    东东2年前 (2015-03-26)回复
  2. #3
    Unknown Unknown Unknown Unknown

    木头科学二百五2年前 (2015-03-26)回复
  3. #2
    Unknown Unknown Unknown Unknown

    好深奥。。。。。。

    你看不见我的ID2年前 (2015-03-26)回复
  4. #1
    Unknown Unknown Unknown Unknown

    记得推上有评论 CNNIC:当年你国奥运会体操运动员年龄作假,其他国家都骂奥委会,奥委会也是很无奈,说,我也是没办法的,谁让是国家颁发的运动员资格证

    我祗是2年前 (2015-03-26)回复