V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Cu635
V2EX  ›  分享发现

刚刚发现 CNNIC 的证书穿上马甲了!

  •  1
     
  •   Cu635 · 2014-11-20 18:54:19 +08:00 · 9592 次点击
    这是一个创建于 3654 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在firefox最新版里面,除了以前的

    CNNIC
    -CNNIC ROOT 之外,又多了

    china internet network information center
    -china internet network information center ev certificates root

    这个条目,CNNIC开始做马甲了……
    第 1 条附言  ·  2015-09-18 14:12:44 +08:00
    楼下不少说“既然 CNNIC 通过正规途径进入了 CA 所以我要信任”,结果呢?今年( 2015 年) 4 月份的新闻充分说明了 CNNIC 的尿性。
    18 条回复    2015-09-18 14:15:16 +08:00
    Slienc7
        1
    Slienc7  
       2014-11-20 20:57:21 +08:00
    certmgr.msc-删删删

    byw,发现yandex自带的WOT插件拦截了cnnic.cn域名
    http://www.mywot.com/scorecard/cnnic.cn?utm_source=addon&utm_content=warn-viewsc
    Jreen
        2
    Jreen  
       2014-11-20 21:01:55 +08:00
    我的电脑没有china internet network information center
    倒是有三个阿里巴巴的。已经禁止了
    lsylsy2
        3
    lsylsy2  
       2014-11-20 21:19:16 +08:00   ❤️ 6
    我的观点是
    CNNIC(和wosign等)通过正规途径,在有国际审核的情况下进入我电脑的CA,我是接受的;禁用他们,最大受害的还是因为各种原因选择这些CA的用户,而他们不一定是作恶的;这些CA自己如果做了坏事,很容易就被发现并且承担恶果。
    真正需要警惕的是支付宝、财付通、12306、各种网银以“安全控件”的名义,未经正规途径审核的CA;他们想干坏事,成本小得多,后果严重得多。
    20140930
        4
    20140930  
       2014-11-20 21:32:25 +08:00
    非常赞同3楼的观点。
    wheatcuican
        5
    wheatcuican  
       2014-11-20 21:49:54 +08:00
    @lsylsy2 +10086
    hjc4869
        6
    hjc4869  
       2014-11-20 22:31:32 +08:00
    @xgowex 不能直接删,过了几分钟又回来了,更不能因为这个关闭自动更新CA。
    正确做法是加入revoke列表。
    @lsylsy2 我觉得CNNIC就算用来做坏事也不会大规模。
    大概是已经盯上了某人,拿CNNIC单独劫持掉SSL通信,获取密码信息等。
    被盯到这个程度就已经很麻烦了,感觉逃亡国外吧。
    老老实实做事不会被这种程度的劫持,因为一旦CNNIC被抓到了证据那么不仅CA会在几天内从所有电脑上消失,还会导致gov机构名誉受损,损失太大了。。
    lsylsy2
        7
    lsylsy2  
       2014-11-20 23:20:54 +08:00
    @hjc4869 我觉着我没犯下有必要使用这种手段来盯我的事情,so无所谓了
    Slienc7
        8
    Slienc7  
       2014-11-20 23:21:03 +08:00   ❤️ 1
    不明白要声誉没声誉,要经验没经验,要用户没用户,要名气没名气的CNNIC ROOT是如何被大多OS默认信任的
    lsylsy2
        9
    lsylsy2  
       2014-11-20 23:22:26 +08:00
    xoxo
        10
    xoxo  
       2014-11-20 23:23:45 +08:00   ❤️ 1
    @xgowex 能通过WebTrust审计的CA就有资格向各大浏览器申请添加信任.
    Cu635
        11
    Cu635  
    OP
       2014-11-21 13:08:53 +08:00
    @lsylsy2 CNNIC在申请信任的时候当然不会做任何恶心人的事情,之前CNNIC做的恶心人的事情在申请的时候当然会隐瞒,而那些事情没有哪个国际化的大型网站报道过,自然知道的人不多。所以CNNIC在国际机构的申请还是能通过的。

    至于成为了受信任的根证书颁发机构了之后会怎么样,现在确实还不知道。不过要注意到两点:

    1、CNNIC在国内是唯一的操作系统、浏览器自带“受信任的根证书颁发机构”,这是垄断地位。

    2、CNNIC的第一个申请的名称“CNNIC-CNNIC ROOT”过期时间是2027年4月16日,但是我是今天才注意到CNNIC又申请了一个“China Internet Network Information Center-china internet network information center ev certificates root”的马甲,当然是早就出现了。

    CNNIC ROOT是2007年进入“受信任的根证书颁发机构”的,在远远早于CNNIC的过期时间的时候,CNNIC就又申请了这个马甲并且把CNNIC ROOT的证书废除了(This certificate was revoked by its certification authority.),这不是很有问题么。
    Cu635
        12
    Cu635  
    OP
       2014-11-21 13:09:36 +08:00
    @lsylsy2 求教怎么插图?
    lsylsy2
        13
    lsylsy2  
       2014-11-21 13:16:50 +08:00
    @Cu635 微博是个好图床,然后直接把图片url粘贴
    lsylsy2
        14
    lsylsy2  
       2014-11-21 13:19:03 +08:00
    @Cu635 我这里看,旧证书并未被吊销,“This certificate was revoked by its certification authority.”很可能是因为你把它拖进不信任列表了
    lsylsy2
        15
    lsylsy2  
       2014-11-21 13:20:36 +08:00

    国服战网用的就是你说的“已经被废除”的CNNIC ROOT
    20140930
        16
    20140930  
       2014-11-21 14:04:41 +08:00
    看9楼的图片感觉国内只要是个互联网公司,以安全的名义搞个插件非要给你加个自己家弄得CA这是为什么?
    Cu635
        17
    Cu635  
    OP
       2015-09-18 14:10:53 +08:00
    @lsylsy2 现在说的有点晚了,不过刚想起来我自己发过这么一个帖子……

    今年( 2015 年) 3 月份, google 发现 CNNIC 名下的一批假证书, 4 月份宣布不再信任 CNNIC 证书。之后 google 、 mozilla 、 Microsoft 跟进,都已经不信任 CNNIC 了。为了不让用户不方便,当时是以白名单的方式让用户继续使用的。

    现在 5 个月过去了,不知道还在没在白名单里。
    Cu635
        18
    Cu635  
    OP
       2015-09-18 14:15:16 +08:00
    @20140930 @20140930 @hjc4869 @lsylsy2
    见上面我的回复。
    新闻我就不贴地址了,主要是现在刚想起来我自己在这里发过这么一篇帖子。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5162 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:30 · PVG 17:30 · LAX 01:30 · JFK 04:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.