CNNIC 似乎很嚴重, 最近正忙到不可開消, 還好有不少長輩清楚的將原由、嚴重性做清楚的說明~
CNNIC 事件說明
下述摘錄自: Untrustable CNNIC SSL CA
CNNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CNNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CNNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中文上網官方版軟體這種事。
由於 CNNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CNNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。
另一種更可能的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。
CNNIC 憑證的結論
- 結論: 盡快把 CNNIC 的憑證從系統移除.
於 Debian、Ubuntu Linux 移除 CNNIC 憑證
方法1
- sudo dpkg-reconfigure ca-certificates
- 選 Ask
- 將 mozilla/Entrust.net_Secure_Server_CA.crt 前面的 * 拿掉.
方法2
- sudo vim /etc/ca-certificates.conf
mozilla/Entrust.net_Secure_Server_CA.crt
改成 (前面加 "!" 號)
!mozilla/Entrust.net_Secure_Server_CA.crt - sudo update-ca-certificates
於 Firefox 刪除 CNNIC 憑證
- 編輯 -> 偏好設定 -> 進階 -> 加密
- 檢視憑證清單 -> 憑證機構
- 將 Entrust.net 下面的全部選起來, 按 "刪除" 即可.
相關網頁
- 在 Linux 上移除 CNNIC 憑證 - 此篇有非常清楚的說明.
- 移除 CNNIC 憑證 on Linux
- CertAlert 與 CA Untrustworthy - Firefox 外掛, 可以偵測避免 CNNIC 憑證的事件.