精華區beta Browsers 關於我們 聯絡資訊
http://autoproxy.org/zh-CN/node/66 CNNIC CA:最最最嚴重安全警告! 各位,雖然此事與 AutoProxy 無關,但它對所有(也包括 AutoProxy)用戶都是一個非 常嚴重的安全威脅。我,WCM,AutoProxy 作者,以個人名譽強烈建議您認真閱讀並采取 措施。 背景知識 網上傳輸的任何信息都有可能被惡意截獲。盡管如此,我們仍然在網上保存著很多重要的 資料,比如私人郵件、銀行交易。這是因為,有一個叫著 SSL/TLS/HTTPS 的東西在保障 我們的信息安全,它將我們和網站服務器的通信加密起來。 如果網站覺得它的用戶資料很敏感,打算使用 SSL/TLS/HTTPS 加密,必須先向有 CA (Certificate Authority) 權限的公司/組織申請一個證書。有 CA 權限的公司/組織都是 經過全球審核,值得信賴的。 發生了什麼事 最近,CNNIC——對,就是那個臭名昭著的利用系統漏洞發布流氓軟件的、就是那個使勁 忽悠 CN 域名又突然停止域名解析的 CNNIC (中國互聯網絡信息中心),它——偷偷地獲 得了 CA 權限!在所有中文用戶被隱瞞的情況下! 意味著什麼 意味著 CNNIC 可以隨意造一個假的證書給任何網站,替換網站真正的證書,從而盜取我 們的任何資料! 這就是傳說中的 SSL MITM 攻擊。以前這個攻擊不重要是因為攻擊的證書是假的,瀏覽器 會告訴我們真相;現在,因為 CNNIC 有了 CA 權限,瀏覽器對它的證書完全信任,不會 給我們任何警告,即使是造假的證書! 你信任 CNNIC (中國互聯網絡信息中心) 嗎?你相信它有了權限,會安守本分,不會偷偷 地干壞事嗎? 我對此有3個疑問: 1. 某 party 對 GMail 興趣濃厚,GFW 苦練 SSL 內功多年,無大進展。如今有了 CA ,若 GFW 令下,CNNIC 敢不從否? 2. CNNIC 當年利用所謂官方頭銜,制流氓軟件禍害網民。如今有了 CA,如何相信它 不會故伎重演? 3. 為了得到指定網站的合法證書,其它流氓公司拋出錢權交易,面對誘惑,CNNIC 是 否有足夠的職業操守? 影響范圍 基本上所有瀏覽器的所有用戶均受影響! 行動第一步:立即安全防御 在此只介紹 Firefox 瀏覽器的防御方法,其它瀏覽器的用戶請自行 Google,原理類似。 * 菜單欄:工具/編輯->首選項->高級->加密->查看證書->證書機構(Authorites) * 這是一個很長的列表,按照字母順序,你應該能找到一個叫著 "CNNIC ROOT" 的記 錄,就是這個東西,告訴 Firefox,我們不信任它! * 選中 CNNIC ROOT,點擊下面的「編輯」按鈕,彈出一個框,應該有3個選項,把所 有選項的勾都去掉!保存。 * 還沒有完,狡兔有三窟。 * 接著往下找,有一個叫著 Entrust.net 的組,這個組裡應該有一個 "CNNIC SSL" (如果沒有,訪問一下 這個網站 就有了) * 別急著下手,這回情況不一樣,這個證書是 Entrust 簽名的。我們信任 Entrust ,Entrust 說它信任 CNNIC,所以我們就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 這一條,同上面一樣,把3個選項的勾都去掉 ,保存(提示:取消了對 Entrust 的信任以後,可能會沒法打開它簽名的某些正常網站 。至於哪個網站用了它的簽名,隨便試了一下,沒找到例子)。 * 最後,讓我們驗證一下。重啟 Firefox,打開 這個 和 這個 網站,如果Firefox 對這兩個網站都給出了安全警告,而非正常瀏覽,恭喜,您已經擺脫了 CNNIC CA 的安全 威脅! 行動第二步:治標還需治本 幾天前聽到這個消息的時候,我簡單地、輕蔑地將 CNNIC 刪除了事。可是這個周末,我 忽然覺得這樣很不好。因為只要它存在,始終會有大部分的用戶受到威脅。和寫 AutoProxy 時同樣的想法:如果大部分人都處於安全威脅當中,一個人苟且偷安又有什麼 意義?如果不能將自由與安全的門檻降低一點點,所謂的技術又有什麼好僥幸的? 所以我呼籲大家,貢獻一點時間和知識,團結起來說服各瀏覽器取消 CNNIC 的 CA 權限 。這種事不可能有公司來推動,只有我們社區。 首先推薦的是 Firefox,作為一個公益組織 Mozilla 的決策過程更為開放、更願意聽取 社區的聲音。Bug 476766 記錄了事件的全過程。Bug 542689 和 Mozilla.dev.security.policy 進行著現在的討論(注意,你可以把自己添加到 Bugzilla 的 CC List 以表達你對此事的關切。但是不要隨便說一些不靠譜的話,免遭討 厭。強調政治、GFW 的之類的不管用,必須就事論事。比如它在申請過程中采取欺騙、隱 瞞的手段,或者申請成功後的某些行為違反了 Mozilla 的 CA 政策;比如它的屬性和過 往行為表明它不會忠於自己的職責,而(幫助)做出 MITM 這種 CA 共憤的事情)。 其次是 Entrust,它說它信任,導致了我們也被迫信任 CNNIC SSL。不妨 告訴 Entrust 此事很嚴重,因為它錯誤地信任了 CNNIC,大量用戶不得不刪除它的 CA。如果能找到使 用 Entrust 證書的網站更好。給這些網站寫信,因為此次事件我們不得不刪除了 Entrust 的 CA,請求他們另選別家認證。如果反響強烈,勢必給 Entrust 造成很大壓力 。 除此之外,來投個票吧(結果統計)! 最後,強烈建議大家,發現證書警告的時候最好直接關掉,不要輕易添加例外。證書的信 任體系是一級依賴一級的,一不小心你可能就會連帶信任一個不想信任的 CA。上面用於 驗證的兩個網站,不妨定期(每周/每月)測一測,如果哪天你發現其中的任何一個網站 沒有證書警告,就要注意了! 各位: DNS 劫持已然成為常態,不要讓 SSL 劫持再次普及!此事剛剛發布,尚有評議空間。待 時間流逝,你我皆成溫水中之青蛙! ----------- 還是不太明白的可以看看下面這篇,雖然我也是一知半解...orz ----------- http://people.debian.org.tw/~chihchun/2010/02/02/remove-cnnic-cert-on-linux/ Rex's blah blah blah-在 Linux 上移除 CNNIC 憑證 (部份節錄) CNNIC 過去最大的爭議即是曾經發布過中文上網官方版軟體,名為提供中文網址導引服務 ,實質則包含流氓軟體的功能,主要功能是一般輔助上網軟體,但核心卻用 rootkit 技 術讓你無法刪除,與木馬/病毒程式一般。雖說這只是一項前科,但是中國政府持續拿著 民族主義、國家安全為藉口,實施數種網路管制,甚至滲透國外企業、政府網路,根本是 合法的網路流氓。而 CNNIC 背後支持的政府組織是中華人民共和國工業和信息化部、中 國科學院、中國科學院計算機網絡信息中心 等中國政府組織。很難說,哪一天 CNNIC 不 會被控制作為攻擊工具之一。 除了 CNNIC 自行發布的 CA Cert Root 外,其實 CNNIC 也已經取得 Entrust.net 所發 布的次級憑證。建議所有台灣政府單位,一律移除 CNNIC 相關憑證。 ------其他文章 http://www.joehorn.idv.tw/archives/2010/02/02/748/ (Joe Horn 的啟示錄-刪除 IE 與 Firefox 的 CNNIC 根憑證) http://www.dajiyuan.com/b5/10/1/30/n2803912.htm (中國網民發起抵制CNNIC根證書行 動) <-雖然是大紀元還是可以看一下 http://www.plurk.com/p/3mpi1t (【極度重要】在你覺得「又是我看不懂的電腦噗」準備按下**消音**前,請聽小弟的勸: 務必將電腦中來自 CNNIC(中國互聯網絡信息中心) 的安全憑證移除掉!這噗整理一些網 站上所整理,針對各網頁瀏覽器的處理方式) -- ◢███◣ ╱╱ψALLENo3 只要擁有一件神兵利器就可以╱╱ ◎   < ─⊙-⊙- 盡情的摧殘敵人的身軀 ╱╱ 雖然防具不能傷及 ─── ╱╱ 敵人的身體,但其 _◣____◢___ 幹你媽的~ ╱╱ 強大的防禦力可以 ____________ 武器店 你手上拿的是武器吧╱╱ 摧殘敵人的精神^.< 防具店 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.32.103.159
knight00931:標題我也不曉得打什麼比較好 總之請大家看看吧~ 02/04 23:11
darKyle:雖然不太瞭 不過照做也沒損失 cn實在沒多少東西可信任 02/04 23:12
plutox:所以最近股市看盤的頁面,出現CA認證跟這個有關嗎? 02/04 23:22
knight00931:應該要看是誰的吧... 02/04 23:51
Liebheart:我的chrome也有CNNIC憑證@@..要刪掉嗎... 02/04 23:54
Liebheart:在不受信任的發行者那邊..看到Microsoft Corporation XD 02/04 23:55
kira925:罵超兇的XD bug report裏面戰火彌天阿 02/05 00:30
knight00931:我貼一下 http://goo.gl/xBX7 (bugzilla) 02/05 00:43
※ 編輯: knight00931 來自: 114.32.103.159 (02/05 00:48)
brianuser:刪掉沒用 要匯出然後匯入不信任組 02/05 03:34
howar31:這篇是英文翻譯過來的嗎? 讀起來有點痛苦orz 02/05 09:50
xvid:文章寫的真爛 有夠難讀 02/05 12:52
emaseki:作者應該是大陸人所以用大陸用語 是難懂但不是文筆爛吧 02/05 13:16
choosin:匯入不信任每次連到網頁他還是一直復活(IE8 02/05 13:30
codel:看不太懂…平常可疑網站的東西自己不要安裝or接受就好了吧? 02/05 15:33
darKyle:內文的意思是有可能以合法掩護非法 02/05 15:46
darKyle:就算是黑心網站 瀏覽器也會告訴你它是安全可信任 02/05 15:48
knight00931:WCM是大陸人啊,同時也有在維護chinalist 02/05 17:02
knight00931:幾個連結點進去比較好懂啦,畢竟字很多 02/05 17:02
kira925:簡單的翻譯就是FX的安全性基礎:CA認証裏面現在加入了黑心 02/05 21:51
kira925:的認証單位,可能從根本破壞了這個安全認証架構 02/05 21:52
kira925:所以就有人在bugzilla裏面爆走跟FX負責bug triage的吵架 02/05 21:53
kira925:(不過也沒辦法,那幾個只會趕對岸的人去論壇 02/05 21:54
kira925:但是對岸根本就沒辦法看到那個論壇討論 02/05 21:54
kira925:兩邊就這樣戰起來了 02/05 21:54
knight00931:感謝樓上的熱心!! (擦眼淚) 02/05 22:12
ancientsky:關了CNNIC之後,Zotero會沒辦法連線... 02/06 06:03