逗比云还是逃不过被墙的命运,既然如此那以后逗比云也就一直用被墙的旧域名 [softs.wtf] 算了。
投稿文章 | 广告合作 | Telegram 群组 / 公告频道 / 使用教程
广告

CNNIC根证书的危险及清除方法(科学上网必读)

网络资源 Toyo 110评论
广告
本文最后更新于 2018年8月17日 21:25 可能会因为没有更新而失效。如已失效或需要修正,请留言!

CNNIC根证书介绍

CNNIC是什么意思?

鉴于CNNIC是本文的主角,而有些网友尚不清楚CNNIC为何物?顾而我先要介绍一下它。

CNNIC是如下几个英文的缩写(China Internet Network Information Center)。中文叫“中国互联网信息中心”。通俗地说,就是在中央的领导下,对互联网进行管理的一个机构。关于它的权威解释,可以看“wiki”。

什么是证书?

“证书”英文也叫“digital certificate”或“public key certificate”(专业的解释看“wiki”)。

它是用来证明某某东西确实是某某东西的东西(是不是像绕口令?)。通俗地说,证书就好比例子里面的公章。通过公章,可以证明该介绍信确实是对应的公司发出的。

理论上,人人都可以找个证书工具,自己做一个证书。那如何防止坏人自己制作证书出来骗人捏?请看后续CA的介绍。

什么是CA?

CA是 Certificate Authority的缩写,也叫“证书授权中心”。(专业的解释看“wiki”)

它是负责管理和签发证书的第三方机构,就好比例子里面的中介——C公司。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司,才会找C公司作为公章的中介。

什么是CA证书?

CA证书,顾名思义,就是CA颁发的证书。

前面已经说了,人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没什么用处的。因为你不是权威的CA机关,你自己搞的证书不具有权威性。

那么CNNIC都干过哪些龌龊事呢?

长期发布流氓软件

从很多年以前,CNNIC就开始推行中文上网软件。该软件不光是安装的时候悄无声息,而且卸载的时候无比困难。其常年占据流氓软件排行榜的三甲之列。很多网友对它深恶痛绝,到处寻找卸载良策。所以,你在google.com.hk里面输入cnnic,搜索框的10项自动提示里,有5项(一半)是关于卸载/专杀CNNIC中文上网软件的。

域名管理混乱

前几年,大概是为了政绩,CNNIC开始疯狂追求cn域名的注册量,甚至不惜推出了一元钱注册域名的超低价。经过CNNIC的大力忽悠,注册数量果然上去了(cn成为全球注册量最大的国别域名)。但是CNNIC只求量不求质的行为,必然导致鱼龙混杂。很多骗子网站、钓鱼网站、挂马网站都用cn域名。(反正注册成本很低,打一枪换一个地方)

强行霸占域名

CNNIC还经常对它看上的好域名强取豪夺。比如08年奥运会那会儿,CNNIC把国内奥运冠军的姓名拼音对应的域名强制收回(相关报道在“这里”)。所以,如果你用自己的名字注册了cn域名,你就要开始祈祷了:今后别跟某个奥运冠军的名字一样(哪怕同音不同字,都会被强行收回哦)

禁止个人注册域名

09年12月,CCTV在焦点访谈中,点名批评CNNIC对域名的监管不力,导致大量黄色网站利用cn域名逃避监管(其实 CCAV也不是什么好鸟,CCAV和CNNIC是狗咬狗的关系)。这下CNNIC可傻眼了,赶紧发出通知,要求注册cn域名要提供“企业营业执照公章”。这等于变相阻止个人注册域名。

要知道,现在的cn域名注册量上千万,且80%是个人注册的。这些已经注册的域名咋办捏?面对记者的提问,CNNIC的某个家伙声称:“cn域名从未对个人开发注册”。

这下,一大堆注册了cn域名的中小网站站长、个人博客博主也跟着傻眼了。为了避免个人域名被强行收回,大伙儿纷纷转投国外的com域名。某网友到CNNIC官方站点统计了上个月(2010年1月)的域名删除数量,在短短31天,就有117万域名注销掉了。以此相呼应,com域名的注册数,在2010年1月也猛涨。

政策朝令夕改

前面说到CNNIC禁止个人注册域名。其实这招并不能完全杜绝国内的黄色网站,反而是败坏了国内域名注册市场,断了自己的财路。CNNIC的头头们,估计后来回过神来,把这道理想明白了。所以在不到一个月的时间内,赶紧又出台了另一个声明:“正在研究起草有关个人注册cn域名的方案,有望在一段时间后允许个人注册和持有cn域名”。但是民心已失,岂可轻易挽回?正如某网友对CNNIC的评论:“你叫我滚,我滚了;你叫我回来,对不起,已经滚远了。”

作为一个知名的机构,在不到一个月的时间内,出台的政策前后有180度的大转变。这简直是把咱网民当白痴来糊弄,今后网友们岂能再相信它所说的一切?

电脑中有了CNNIC的证书,会导致什么风险?

“中间人攻击”的风险

中间人攻击的风险,是最危险的,也是最经常被提及滴。

我在前面已经讲了CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)。如果老流氓 CNNIC成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后捏,再配合GFW进行DNS的域名劫持。那GFW就可以轻松搞定任何网站的 HTTPS加密传输。

可能有些小朋友心里会犯嘀咕:GFW会有这么坏吗?我想借用鲁迅他老人家的一句话来回答:我向来是不惮以最坏的恶意,来推测中央的。GFW和CNNIC作为中央的2条走狗,一起进行中间人攻击(一个负责DNS欺骗、一个负责伪造CA证书),简直是天生一 对、 黄金搭档啊!

GFW大炮的炮弹

你再科学上网的时候就已经被GFW利用,变成了一只DDOS肉鸡,你可以在全球实时网络攻击地图中看到中国的攻击是最猛的,就是因为你们都被当成了肉鸡,帮助GFW攻击其他国家。

CNNIC的其他作用我也不太清楚,不过反正不是什么好东西,尽快删除了吧,指不定你的一些VPN、SS被封就是这个造成的!

宁可信其有,不可信其无,或许在你眼皮底下就有一条老虎!


Google宣布在产品中撤销CNNIC根及EV证书信任,直至CNNIC实施技术及流程改进杜绝此前发生的证书伪造为止。

Google在4月1日更新了安全博客,宣布旗下产品删除CNNIC根证书。Chrome将释出更新移除对CNNIC证书的信任。为了帮助受影响的客户,Google将使用白名单允许在短时间内继续信任CNNIC现有的证书,CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。Mozilla早在5年前就争论过CNNIC根证书的安全性,而促使Google此次痛下杀手的原因是埃及MCSHolding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。

有网友说CNNIC滥发证书太可怕了。相当于国家机器造假。想想当年体操女运动员年龄造假事件,国际体联被批评后无奈的说:她们的护照都是国家发的,我们有什么权力去质疑呢?

CNNIC爆炸!但是也就业内懂的人才会高兴吧,普通人只会知道用Chrome打开好多网站会爆警告,这肯定是Chrome的错,而不会怪CNNIC。

目前(1号之前签发的)CNNIC证书不会被吊销,暂时以白名单形式存在。

CNNIC根证书清除

注意:CNNIC 目前是去别人那里申请了 SSL证书,所以不需要担心中间人攻击问题了,因为 CNNIC 证书已经不是根证书了。

点击展开 查看更多

转载请超链接注明:逗比根据地 » CNNIC根证书的危险及清除方法(科学上网必读)
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

赞 (233)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(110)个小伙伴在吐槽
  1. 站长你好,我现在的DigiCert Global Root CA证书会将google地址解析到百度,禁用证书后,cnnic仍然可以访问,google会出现不是私密链接的状况,请问有什么办法可以修复吗?
    et1on2018-09-12 12:18 回复
  2. 现在CNNIC在DigiCert Global Root CA里面了,但是我把所有的DigiCert Inc的证书全部禁用后,Chrome不能访问了,可Safari和FireFox能正常访问,并且FireFox还显示安全连接,请问各位大神说明这是怎么回事?
    Jova2018-09-09 09:14 回复
    • 现在CNNIC不再自己颁发根证书了。
      而是用别人的证书,所以无需担心根证书中间人攻击的问题了。
      你如果直接禁用或删除 DigiCert Global Root CA 根证书,会导致使用该证书的网站都无法访问。
      Toyo2018-09-09 13:30 回复
  3. 这个方法没用了啊.我的Firefox和chrome都没有这个证书,且可以打开那个网站
    夏虫_不语2018-08-28 16:28 回复
    • 不看文章?文章里解释了,CNNIC 现在不自己颁发证书了,所以不用管了。
      Toyo2018-08-28 20:46 回复
      • Chrome无法访问cnnic网站
        2018-09-01 14:39 回复
  4. 我怎么找不到捏。。。。
    世界第一萌状态2018-08-05 15:48 回复
    • 可以打开网站然后点击链接左边的Secure看证书名字 再根据这个名字去删除
      Coco2018-08-06 12:19 回复
  5. 可以更新下这个教程吗?现在cnnic跟证书换了颁发机构,应该怎么正确删除证书呢?
    camel2018-08-04 00:38 回复
  6. 刪掉了 cnnic root這個文件 但是cnnic.cn還是能打開
    Jelly2018-07-30 17:08 回复
  7. cnnic.cn现在用的是DigiCert的证书了一
    lifansama2018-07-18 21:39 回复
  8. 按教程找了一会,没有发现这个证书,但网站可以正常打开。。。
    327nb2018-06-28 17:11 回复
    • 都一样啊(捂脸)
      2018-08-27 17:23 回复
    • 一样。 。
      命无痕2018-09-02 20:00 回复
  9. 是列表里的cnnic root吧?删不了啊
    niga2018-05-31 18:55 回复
  10. Chrome、火狐浏览器宣布删除CNNIC数字证书/2015-4月资料
    ailesv2018-05-12 22:04 回复
  11. chrome里没看到cnnic的证书啊?
    十一2018-05-04 20:26 回复
  12. 手机chrome流畅打开,然而没有什么去除证书的方法
    Laeoo2018-04-29 21:26 回复
  13. 找不到CNNIC的证书,chrome浏览器的,但还是可以访问其主页
    12342018-04-16 17:13 回复
  14. CNNIC证书换了个马甲还是怎么了?现在firefox找不到相关证书了,cnnic.cn也可以正常打开。 请问怎么处理?有新的办法吗?
    retr02018-03-20 11:08 回复
  15. 我的www.cnnic.cn证书变成ESET SSL颁发的了
    nix2018-02-12 18:36 回复
  16. https://www.cnnic.cn的证书是DigiCert SHA2 Secure Server CA发的 :lol:
    龙离2018-01-06 19:48 回复
  17. CNNIC证书现在是不是没有了。我电脑没有CNNIC证书一样可以访问是什么鬼
    john2017-12-30 19:27 回复
  18. 显示没有权限删除所选证书是什么情况
    tianming2017-12-12 19:20 回复
1 2