镜像域名: doub.bid 提供给无翻墙能力的人使用~ 有能力的建议访问主域名("点"改为".") doub点io
投稿文章 | 广告投放 | Telegram 群组 / 公告频道

CNNIC根证书的危险及清除方法(科学上网必读)

网络资源 Toyo 67评论
文章目录
[显示]
本文最后更新于 2017年7月8日 13:04 可能会因为没有更新而失效。如已失效或需要修正,请留言!

CNNIC根证书介绍

CNNIC是什么意思?

鉴于CNNIC是本文的主角,而有些网友尚不清楚CNNIC为何物?顾而我先要介绍一下它。

CNNIC是如下几个英文的缩写(China Internet Network Information Center)。中文叫“中国互联网信息中心”。通俗地说,就是在中央的领导下,对互联网进行管理的一个机构。关于它的权威解释,可以看“wiki”。

什么是证书?

“证书”英文也叫“digital certificate”或“public key certificate”(专业的解释看“wiki”)。

它是用来证明某某东西确实是某某东西的东西(是不是像绕口令?)。通俗地说,证书就好比例子里面的公章。通过公章,可以证明该介绍信确实是对应的公司发出的。

理论上,人人都可以找个证书工具,自己做一个证书。那如何防止坏人自己制作证书出来骗人捏?请看后续CA的介绍。

什么是CA?

CA是 Certificate Authority的缩写,也叫“证书授权中心”。(专业的解释看“wiki”)

它是负责管理和签发证书的第三方机构,就好比例子里面的中介——C公司。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司,才会找C公司作为公章的中介。

什么是CA证书?

CA证书,顾名思义,就是CA颁发的证书。

前面已经说了,人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没什么用处的。因为你不是权威的CA机关,你自己搞的证书不具有权威性。

那么CNNIC都干过哪些龌龊事呢?

长期发布流氓软件

从很多年以前,CNNIC就开始推行中文上网软件。该软件不光是安装的时候悄无声息,而且卸载的时候无比困难。其常年占据流氓软件排行榜的三甲之列。很多网友对它深恶痛绝,到处寻找卸载良策。所以,你在google.com.hk里面输入cnnic,搜索框的10项自动提示里,有5项(一半)是关于卸载/专杀CNNIC中文上网软件的。

域名管理混乱

前几年,大概是为了政绩,CNNIC开始疯狂追求cn域名的注册量,甚至不惜推出了一元钱注册域名的超低价。经过CNNIC的大力忽悠,注册数量果然上去了(cn成为全球注册量最大的国别域名)。但是CNNIC只求量不求质的行为,必然导致鱼龙混杂。很多骗子网站、钓鱼网站、挂马网站都用cn域名。(反正注册成本很低,打一枪换一个地方)

强行霸占域名

CNNIC还经常对它看上的好域名强取豪夺。比如08年奥运会那会儿,CNNIC把国内奥运冠军的姓名拼音对应的域名强制收回(相关报道在“这里”)。所以,如果你用自己的名字注册了cn域名,你就要开始祈祷了:今后别跟某个奥运冠军的名字一样(哪怕同音不同字,都会被强行收回哦)

禁止个人注册域名

09年12月,CCTV在焦点访谈中,点名批评CNNIC对域名的监管不力,导致大量黄色网站利用cn域名逃避监管(其实 CCAV也不是什么好鸟,CCAV和CNNIC是狗咬狗的关系)。这下CNNIC可傻眼了,赶紧发出通知,要求注册cn域名要提供“企业营业执照公章”。这等于变相阻止个人注册域名。

要知道,现在的cn域名注册量上千万,且80%是个人注册的。这些已经注册的域名咋办捏?面对记者的提问,CNNIC的某个家伙声称:“cn域名从未对个人开发注册”。

这下,一大堆注册了cn域名的中小网站站长、个人博客博主也跟着傻眼了。为了避免个人域名被强行收回,大伙儿纷纷转投国外的com域名。某网友到CNNIC官方站点统计了上个月(2010年1月)的域名删除数量,在短短31天,就有117万域名注销掉了。以此相呼应,com域名的注册数,在2010年1月也猛涨。

政策朝令夕改

前面说到CNNIC禁止个人注册域名。其实这招并不能完全杜绝国内的黄色网站,反而是败坏了国内域名注册市场,断了自己的财路。CNNIC的头头们,估计后来回过神来,把这道理想明白了。所以在不到一个月的时间内,赶紧又出台了另一个声明:“正在研究起草有关个人注册cn域名的方案,有望在一段时间后允许个人注册和持有cn域名”。但是民心已失,岂可轻易挽回?正如某网友对CNNIC的评论:“你叫我滚,我滚了;你叫我回来,对不起,已经滚远了。”

作为一个知名的机构,在不到一个月的时间内,出台的政策前后有180度的大转变。这简直是把咱网民当白痴来糊弄,今后网友们岂能再相信它所说的一切?

电脑中有了CNNIC的证书,会导致什么风险?

“中间人攻击”的风险

中间人攻击的风险,是最危险的,也是最经常被提及滴。

我在前面已经讲了CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)。如果老流氓 CNNIC成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后捏,再配合GFW进行DNS的域名劫持。那GFW就可以轻松搞定任何网站的 HTTPS加密传输。

可能有些小朋友心里会犯嘀咕:GFW会有这么坏吗?我想借用鲁迅他老人家的一句话来回答:我向来是不惮以最坏的恶意,来推测中央的。GFW和CNNIC作为中央的2条走狗,一起进行中间人攻击(一个负责DNS欺骗、一个负责伪造CA证书),简直是天生一 对、 黄金搭档啊!

GFW大炮的炮弹

你再科学上网的时候就已经被GFW利用,变成了一只DDOS肉鸡,你可以在全球实时网络攻击地图中看到中国的攻击是最猛的,就是因为你们都被当成了肉鸡,帮助GFW攻击其他国家。

CNNIC的其他作用我也不太清楚,不过反正不是什么好东西,尽快删除了吧,指不定你的一些VPN、SS被封就是这个造成的!

宁可信其有,不可信其无,或许在你眼皮底下就有一条老虎!


Google宣布在产品中撤销CNNIC根及EV证书信任,直至CNNIC实施技术及流程改进杜绝此前发生的证书伪造为止。

Google在4月1日更新了安全博客,宣布旗下产品删除CNNIC根证书。Chrome将释出更新移除对CNNIC证书的信任。为了帮助受影响的客户,Google将使用白名单允许在短时间内继续信任CNNIC现有的证书,CNNIC在实现证书透明度和改进流程防止未来再次发生类似事故后可以提出撤销这一决定的申请。Mozilla早在5年前就争论过CNNIC根证书的安全性,而促使Google此次痛下杀手的原因是埃及MCSHolding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。

有网友说CNNIC滥发证书太可怕了。相当于国家机器造假。想想当年体操女运动员年龄造假事件,国际体联被批评后无奈的说:她们的护照都是国家发的,我们有什么权力去质疑呢?

CNNIC爆炸!但是也就业内懂的人才会高兴吧,普通人只会知道用Chrome打开好多网站会爆警告,这肯定是Chrome的错,而不会怪CNNIC。

目前(1号之前签发的)CNNIC证书不会被吊销,暂时以白名单形式存在。

CNNIC根证书清除

有个蛋疼的事情是,CNNIC更换了根证书颁发者,这意味着下面的那个CNNIC证书清除软件失效了。。。

Firefox浏览器 清除证书

  1. 从菜单“工具”=>“选项” ,打开选项对话框
  2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。
  3. 在证书对话框中,切换到“证书机构”。
  4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。

注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。

Opera浏览器 清理证书

  1. 从菜单“工具”=>“首选项” ,打开首选项对话框
  2. 切换到“高级”标签页,在左边选择“安全性”这项。
  3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。
  4. 找到CNNIC的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉

Chrome浏览器 清除证书

  1. 点击右上角的“三道杠”=>“设置”,打开设置页面
  2. 翻到最下面点击 显示高级设置
  3. 找到HTTPS/SSL,点管理证书,出来一个证书的对话框。切换到“受信任的根证书颁发机构”标签页。
  4. 找到CNNIC的证书并删除。

如果嫌麻烦或者,其他原因无法清除可以使用这个软件来清除CNNIC根证书。

下载地址:逗比云

使用步骤:打开软件后勾选关闭自动根证书更新,点击 禁用吊销 → 删除 ,必须要按照这个步骤做,否则可能删除失败。

验证是否清除成功

不要使用360安全卫士、百度卫士、腾讯管家之类的国产软件,因为他们可能会修复CNNIC证书缺失问题!当初CNNIC能发展到现在这个普及程度,就是靠360前身著名的流氓软件祖师3721散播的,目前虽然没有证据,但还是要小心!

https://www.cnnic.cn

如果你的浏览器报告该网站的证书有问题(Chrome如下图),那恭喜你,你的门户清理干净了 :-)

如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。

转载请超链接注明:逗比根据地 » CNNIC根证书的危险及清除方法(科学上网必读)
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

赞 (100)or打赏
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(67)个小伙伴在吐槽
  1. 现在那个登入网站的测试方法没用了,不过大部分外国的浏览器都删了CNNIC的证书。所以各位莫慌。
    GFW2017-08-10 19:35 回复
  2. CNNIC貌似换用了一家国外的证书,国外的证书应该不会对中国作恶了吧。。(只是应该啊)
    ZeroAurora2017-08-06 16:13 回复
  3. 找不到CNNIC的证书,求解
    kpc2017-07-31 16:30 回复
  4. CNNIC换DigiCert证书了。。。
    Kirito2017-07-27 16:45 回复
    • 意思是可以不管了吗?
      Marshall2017-07-29 06:57 回复
      • 仅仅是cnnic官网换了digecert的证书,估计是被各大浏览器block之后不得已换了,只是他自己证书照样发。
        busquo2017-08-08 14:39 回复
  5. 删不掉啊!!!!删了几次,删了又有!!!!!! 气死我了!!!!! 软件也不行, 还有一个新出来的China什么的,据说也一样......还有没有什么办法了啊
    LUKEAINSIWORTH2017-07-19 23:22 回复
    • 前段时间CNNIC根证书颁发者改了,所以目前网上所有的删除CNNIC根证书软件都失效了。
      Toyo2017-07-20 00:13 回复
    • 请问能找到哦这个证书吗?我是找不到。。。
      kpc2017-07-31 16:37 回复
  6. 谷歌浏览器证书里面没找到CNNIC,但是打开www.cnnic.cn可以正常打开,这是什么情况?? :lol:
    krokyhui2017-07-04 16:03 回复
    • +1,Chrome里没找到,用工具也没提示什么错误,但还是可以直接打开那个网站。
      UltimateA2017-07-08 11:51 回复
      • +1 同样情况,根本找不到这个名字的证书啊~!
        深蓝2017-07-15 23:04 回复
    • +1 大家一样,今天我去找了,也没有找到,打开 www.cnnic.cn 可以正常打开
      kpc2017-07-31 16:38 回复
  7. CNNIC根证书清除工具在win10下报毒,威胁等级:严重! Windows Defender detects and removes this threat. A trojan is a type of malware that can’t spread on its own. It relies on you to run them on your PC by mistake, or visit a hacked or malicious webpage. They can steal your personal information, download more malware, or give a malicious hacker access to your PC. Because of the way this threat works, it keeps getting detected. To restore your PC, you might need to download and run Windows Defender Offline. See our advanced troubleshooting page for more help. Find out ways that malware can get on your PC. 这是什么情况?
    CNNIC根证书清除工具2017-07-03 13:19 回复
1 2