作者knight00931 (便當的飯永遠那麼少)
看板Browsers
標題[情報] CNNIC
時間Thu Feb 4 22:47:25 2010
http://autoproxy.org/zh-CN/node/66
CNNIC CA:最最最嚴重安全警告!
各位,雖然此事與 AutoProxy 無關,但它對所有(也包括 AutoProxy)用戶都是一個非
常嚴重的安全威脅。我,WCM,AutoProxy 作者,以個人名譽強烈建議您認真閱讀並采取
措施。
背景知識
網上傳輸的任何信息都有可能被惡意截獲。盡管如此,我們仍然在網上保存著很多重要的
資料,比如私人郵件、銀行交易。這是因為,有一個叫著 SSL/TLS/HTTPS 的東西在保障
我們的信息安全,它將我們和網站服務器的通信加密起來。
如果網站覺得它的用戶資料很敏感,打算使用 SSL/TLS/HTTPS 加密,必須先向有 CA
(Certificate Authority) 權限的公司/組織申請一個證書。有 CA 權限的公司/組織都是
經過全球審核,值得信賴的。
發生了什麼事
最近,CNNIC——對,就是那個臭名昭著的利用系統漏洞發布流氓軟件的、就是那個使勁
忽悠 CN 域名又突然停止域名解析的 CNNIC (中國互聯網絡信息中心),它——偷偷地獲
得了 CA 權限!在所有中文用戶被隱瞞的情況下!
意味著什麼
意味著 CNNIC 可以隨意造一個假的證書給任何網站,替換網站真正的證書,從而盜取我
們的任何資料!
這就是傳說中的 SSL MITM 攻擊。以前這個攻擊不重要是因為攻擊的證書是假的,瀏覽器
會告訴我們真相;現在,因為 CNNIC 有了 CA 權限,瀏覽器對它的證書完全信任,不會
給我們任何警告,即使是造假的證書!
你信任 CNNIC (中國互聯網絡信息中心) 嗎?你相信它有了權限,會安守本分,不會偷偷
地干壞事嗎?
我對此有3個疑問:
1. 某 party 對 GMail 興趣濃厚,GFW 苦練 SSL 內功多年,無大進展。如今有了 CA
,若 GFW 令下,CNNIC 敢不從否?
2. CNNIC 當年利用所謂官方頭銜,制流氓軟件禍害網民。如今有了 CA,如何相信它
不會故伎重演?
3. 為了得到指定網站的合法證書,其它流氓公司拋出錢權交易,面對誘惑,CNNIC 是
否有足夠的職業操守?
影響范圍
基本上所有瀏覽器的所有用戶均受影響!
行動第一步:立即安全防御
在此只介紹 Firefox 瀏覽器的防御方法,其它瀏覽器的用戶請自行 Google,原理類似。
* 菜單欄:工具/編輯->首選項->高級->加密->查看證書->證書機構(Authorites)
* 這是一個很長的列表,按照字母順序,你應該能找到一個叫著 "CNNIC ROOT" 的記
錄,就是這個東西,告訴 Firefox,我們不信任它!
* 選中 CNNIC ROOT,點擊下面的「編輯」按鈕,彈出一個框,應該有3個選項,把所
有選項的勾都去掉!保存。
* 還沒有完,狡兔有三窟。
* 接著往下找,有一個叫著 Entrust.net 的組,這個組裡應該有一個 "CNNIC SSL"
(如果沒有,訪問一下 這個網站 就有了)
* 別急著下手,這回情況不一樣,這個證書是 Entrust 簽名的。我們信任 Entrust
,Entrust 說它信任 CNNIC,所以我們就被迫信任 CNNIC SSL 了。找到 "Entrust.net
Secure Server Certification Authority" 這一條,同上面一樣,把3個選項的勾都去掉
,保存(提示:取消了對 Entrust 的信任以後,可能會沒法打開它簽名的某些正常網站
。至於哪個網站用了它的簽名,隨便試了一下,沒找到例子)。
* 最後,讓我們驗證一下。重啟 Firefox,打開 這個 和 這個 網站,如果Firefox
對這兩個網站都給出了安全警告,而非正常瀏覽,恭喜,您已經擺脫了 CNNIC CA 的安全
威脅!
行動第二步:治標還需治本
幾天前聽到這個消息的時候,我簡單地、輕蔑地將 CNNIC 刪除了事。可是這個周末,我
忽然覺得這樣很不好。因為只要它存在,始終會有大部分的用戶受到威脅。和寫
AutoProxy 時同樣的想法:如果大部分人都處於安全威脅當中,一個人苟且偷安又有什麼
意義?如果不能將自由與安全的門檻降低一點點,所謂的技術又有什麼好僥幸的?
所以我呼籲大家,貢獻一點時間和知識,團結起來說服各瀏覽器取消 CNNIC 的 CA 權限
。這種事不可能有公司來推動,只有我們社區。
首先推薦的是 Firefox,作為一個公益組織 Mozilla 的決策過程更為開放、更願意聽取
社區的聲音。Bug 476766 記錄了事件的全過程。Bug 542689 和
Mozilla.dev.security.policy 進行著現在的討論(注意,你可以把自己添加到
Bugzilla 的 CC List 以表達你對此事的關切。但是不要隨便說一些不靠譜的話,免遭討
厭。強調政治、GFW 的之類的不管用,必須就事論事。比如它在申請過程中采取欺騙、隱
瞞的手段,或者申請成功後的某些行為違反了 Mozilla 的 CA 政策;比如它的屬性和過
往行為表明它不會忠於自己的職責,而(幫助)做出 MITM 這種 CA 共憤的事情)。
其次是 Entrust,它說它信任,導致了我們也被迫信任 CNNIC SSL。不妨 告訴 Entrust
此事很嚴重,因為它錯誤地信任了 CNNIC,大量用戶不得不刪除它的 CA。如果能找到使
用 Entrust 證書的網站更好。給這些網站寫信,因為此次事件我們不得不刪除了
Entrust 的 CA,請求他們另選別家認證。如果反響強烈,勢必給 Entrust 造成很大壓力
。
除此之外,來投個票吧(結果統計)!
最後,強烈建議大家,發現證書警告的時候最好直接關掉,不要輕易添加例外。證書的信
任體系是一級依賴一級的,一不小心你可能就會連帶信任一個不想信任的 CA。上面用於
驗證的兩個網站,不妨定期(每周/每月)測一測,如果哪天你發現其中的任何一個網站
沒有證書警告,就要注意了!
各位:
DNS 劫持已然成為常態,不要讓 SSL 劫持再次普及!此事剛剛發布,尚有評議空間。待
時間流逝,你我皆成溫水中之青蛙!
-----------
還是不太明白的可以看看下面這篇,雖然我也是一知半解...orz
-----------
http://people.debian.org.tw/~chihchun/2010/02/02/remove-cnnic-cert-on-linux/
Rex's blah blah blah-在 Linux 上移除 CNNIC 憑證 (部份節錄)
CNNIC 過去最大的爭議即是曾經發布過中文上網官方版軟體,名為提供中文網址導引服務
,實質則包含流氓軟體的功能,主要功能是一般輔助上網軟體,但核心卻用 rootkit 技
術讓你無法刪除,與木馬/病毒程式一般。雖說這只是一項前科,但是中國政府持續拿著
民族主義、國家安全為藉口,實施數種網路管制,甚至滲透國外企業、政府網路,根本是
合法的網路流氓。而 CNNIC 背後支持的政府組織是中華人民共和國工業和信息化部、中
國科學院、中國科學院計算機網絡信息中心 等中國政府組織。很難說,哪一天 CNNIC 不
會被控制作為攻擊工具之一。
除了 CNNIC 自行發布的 CA Cert Root 外,其實 CNNIC 也已經取得 Entrust.net 所發
布的次級憑證。建議所有台灣政府單位,一律移除 CNNIC 相關憑證。
------其他文章
http://www.joehorn.idv.tw/archives/2010/02/02/748/ (Joe Horn 的啟示錄-刪除 IE
與 Firefox 的 CNNIC 根憑證)
http://www.dajiyuan.com/b5/10/1/30/n2803912.htm (中國網民發起抵制CNNIC根證書行
動) <-雖然是大紀元還是可以看一下
http://www.plurk.com/p/3mpi1t
(【極度重要】在你覺得「又是我看不懂的電腦噗」準備按下**消音**前,請聽小弟的勸:
務必將電腦中來自 CNNIC(中國互聯網絡信息中心) 的安全憑證移除掉!這噗整理一些網
站上所整理,針對各網頁瀏覽器的處理方式)
--
◢███◣ ╱╱ψALLENo3 ◢ ◣
◤ ≡ ▌只要擁有一件神兵利器就可以╱╱ ◎ <
─⊙-⊙- 盡情的摧殘敵人的身軀 ╱╱ 雖然防具不能傷及 ●───●
皿 ╱╱ 敵人的身體,但其 ◢ ▼◥_◣____◢___◣
◥ ︶◤ 幹你媽的~ ╱╱ 強大的防禦力可以 ◢▄◣ ____________
◢ 武器店 ◤你手上拿的是武器吧╱╱ 摧殘敵人的精神^.< ◥╳◤ ◥防具店 ◣
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.32.103.159
→ knight00931:標題我也不曉得打什麼比較好 總之請大家看看吧~ 02/04 23:11
推 darKyle:雖然不太瞭 不過照做也沒損失 cn實在沒多少東西可信任 02/04 23:12
→ plutox:所以最近股市看盤的頁面,出現CA認證跟這個有關嗎? 02/04 23:22
→ knight00931:應該要看是誰的吧... 02/04 23:51
推 Liebheart:我的chrome也有CNNIC憑證@@..要刪掉嗎... 02/04 23:54
→ Liebheart:在不受信任的發行者那邊..看到Microsoft Corporation XD 02/04 23:55
推 kira925:罵超兇的XD bug report裏面戰火彌天阿 02/05 00:30
※ 編輯: knight00931 來自: 114.32.103.159 (02/05 00:48)
→ brianuser:刪掉沒用 要匯出然後匯入不信任組 02/05 03:34
推 howar31:這篇是英文翻譯過來的嗎? 讀起來有點痛苦orz 02/05 09:50
推 xvid:文章寫的真爛 有夠難讀 02/05 12:52
→ emaseki:作者應該是大陸人所以用大陸用語 是難懂但不是文筆爛吧 02/05 13:16
推 choosin:匯入不信任每次連到網頁他還是一直復活(IE8 02/05 13:30
→ codel:看不太懂…平常可疑網站的東西自己不要安裝or接受就好了吧? 02/05 15:33
推 darKyle:內文的意思是有可能以合法掩護非法 02/05 15:46
→ darKyle:就算是黑心網站 瀏覽器也會告訴你它是安全可信任 02/05 15:48
→ knight00931:WCM是大陸人啊,同時也有在維護chinalist 02/05 17:02
→ knight00931:幾個連結點進去比較好懂啦,畢竟字很多 02/05 17:02
推 kira925:簡單的翻譯就是FX的安全性基礎:CA認証裏面現在加入了黑心 02/05 21:51
→ kira925:的認証單位,可能從根本破壞了這個安全認証架構 02/05 21:52
→ kira925:所以就有人在bugzilla裏面爆走跟FX負責bug triage的吵架 02/05 21:53
→ kira925:(不過也沒辦法,那幾個只會趕對岸的人去論壇 02/05 21:54
→ kira925:但是對岸根本就沒辦法看到那個論壇討論 02/05 21:54
→ kira925:兩邊就這樣戰起來了 02/05 21:54
→ knight00931:感謝樓上的熱心!! (擦眼淚) 02/05 22:12
推 ancientsky:關了CNNIC之後,Zotero會沒辦法連線... 02/06 06:03