於系統 移除 CNNIC 憑證

CNNIC 似乎很嚴重, 最近正忙到不可開消, 還好有不少長輩清楚的將原由、嚴重性做清楚的說明~

CNNIC 事件說明

下述摘錄自: Untrustable CNNIC SSL CA

CNNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CNNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CNNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中文上網官方版軟體這種事。

由於 CNNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CNNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。

另一種更可能的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。

CNNIC 憑證的結論

  • 結論: 盡快把 CNNIC 的憑證從系統移除.

於 Debian、Ubuntu Linux 移除 CNNIC 憑證

方法1
  1. sudo dpkg-reconfigure ca-certificates
  2. 選 Ask
  3. 將 mozilla/Entrust.net_Secure_Server_CA.crt 前面的 * 拿掉.
方法2
  1. sudo vim /etc/ca-certificates.conf

    mozilla/Entrust.net_Secure_Server_CA.crt
    改成 (前面加 "!" 號)
    !mozilla/Entrust.net_Secure_Server_CA.crt

  2. sudo update-ca-certificates

於 Firefox 刪除 CNNIC 憑證

  1. 編輯 -> 偏好設定 -> 進階 -> 加密
  2. 檢視憑證清單 -> 憑證機構
  3. 將 Entrust.net 下面的全部選起來, 按 "刪除" 即可.

相關網頁


關於 Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
本篇發表於 News_Security。將永久鏈結加入書籤。

於系統 移除 CNNIC 憑證 有 6 則回應

  1. 对岸的朋友 說道:

    CNNIC...文中有部分地方拼写错误,写成 CCNIC 了。
    其实我们已经对 Mozilla 提出过移除 CNNIC certificates 的请求:
    https://bugzilla.mozilla.org/show_bug.cgi?id=542689
    可惜到目前为止,Mozilla都没有接受。

  2. jumbler 說道:

    版本不同.. 選單可能不同
    Firefox - 3.5.x
    工具->選項->進階

  3. Tsung 說道:

    嗯, 怪, 你這個選項我就沒有~
    我是 3.5.7 版 in Ubuntu.

  4. jumbler 說道:

    我的是 3.5.7 in Win32

  5. Tsung 說道:

    嗯, Windows 的選項跟 Linux 的不同.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料