CNNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CNNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CNNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中 文上網官方版軟體這種事。
由於 CNNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CNNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。
另一種更可能的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。中國政府由充足的動機,利用此法,竊取民運人士的 Gmail 帳密。記得否?Gmail 帳號系統遭攻擊,是 Google 宣稱可能退出中國的主因之一。
因此,在各官方決定並真的移除 CNNIC 相關 CA 之前,我們最好自力救濟。以下列出我搜集到的方法:
《为 Mac的Safari屏蔽CNNIC根证书》:
- 開啟 Keychain Access 程式
- 左上方選擇 System Roots
- 右方雙擊 CNNIC ROOT
- 打開 Trust
- 全部設成 Never Trust
- 開 Safari 連 https://www.enum.cn/ 測試
- Firefox: Perferences / Options -> Advanced -> Encryption -> View Certificates
- Export CNNIC:CNNIC Root, then delete it.
- Export Entrust.net:Entrust.net Secure Server Certification Authority and Entrust.net:CNNIC SSL, then delete them.
- Windows: Run -> certmgr.msc
- Untrusted Certificates -> Certificates -> All Tasks: Import...
- Import all CA exported from firefox in previous steps.
《在 Linux 上移除 CNNIC 憑證》
在 Opera 上《移除 CNNIC 憑證 (2010/02/02 23:32)》
《最近的話題之一:從系統/瀏覽器中移掉 CNNIC 的憑證》
沒有留言:
發佈留言