保护SSL安全
from: http://felixcat.net/2010/01/throw-out-cnnic/
SSL MITM 攻击,即任何一个拥有信任证书的机构(例如:CNNIC),可以随意造一个假的证书给任何网站,替换网站真正的证书,从而在不知不觉间获取用户访问的全部信息。在一般情况下,这个攻击是不重要的,因为浏览器会给出安全警告,但是如果机构获得了CA认证(例如:CNNIC),那么情况就完全不同了,浏览器对它的证书完全信任,不会给我们任何警告。
如下为防御步骤(包括 IE/Chrome/Firefox )。
1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt
2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)
3 、在 证书机构 (Authorites) 标签页中找到 “CNNIC” 组的 “CNNIC ROOT” 项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)
4 、在 “Entrust.net” 组中找到 “Entrust.net Secure Server Certification Authority” ( 序列号 37:4A:D2:43 的 ) 和 “CNNIC SSL” 证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)
5 、打开开始菜单 -> 运行(或者直接按 Win-R )
6 、输入 certmgr.msc ,打开 Windows 的证书管理器。
7 、展开 “不受信任的证书 (Untrusted Certificates) ” ,右键单击其下 “证书 (Certificates)” 项,在 “所有任务 (All Tasks)” 子菜单下单击 “导入 (Import) … ”
8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
重启 Firefox,打开 https://tns-fsverify.cnnic.cn/ 和 https://www.enum.cn/ 网站,保证Firefox 对这两个网站都给出了安全警告,而非正常浏览。
Mac下Safari操作步骤:
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在Spotlight中搜索 “Keychain Access” 或 “钥匙串访问”,打开后搜索CNNIC,在“信任”中标记为“永不信任”~
Opera操作步骤:
Ctrl+F12 -> 安全性 -> 管理证书 -> 证书办法机构 -> CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
很重要……
太重要了。。。。。
估计很快跨国大公司都会批量部署这个策略了。。。。
刚刚发现163邮箱的登录,通过https的,是CNNIC SSL的认证。
垃圾163,禁用了。