月光博客 » 互联网络 » CNNIC证书的清除方法

CNNIC证书的清除方法

  最近1-2周,关于 CNNIC 的 CA 证书问题,网上搞得沸沸扬扬。但是,即使是一些 IT 行业的技术人员,也搞不太明白该问题的严重性(至于不懂技术的傻瓜用户,就更甭提了)。主要在于 CA 证书是一个相对专业的东东,大伙儿平时接触不多。那电脑中有了CNNIC的证书,会出现啥事呢?

  ◇“中间人攻击”的风险

  中间人攻击的风险,是最危险的,也是最经常被提及。

  CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)不用多说。既然CNNIC已经成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后,再配合进行DNS的域名污染。那就可以轻松搞定任何网站的HTTPS加密传输。

  ◇ActiveX控件的风险

  另外一个大伙儿不太关注的风险,是关于ActiveX控件的问题。前几年,很多恶意软件(包括流氓软件、木马)都是通过IE控件的技术,安装到大伙儿的电脑上。后来微软加强了多ActiveX控件的验证:在IE的默认设置下,对于没有数字签名的ActiveX控件,是拒绝安装滴;而对于有数字签名的控件,则会给出提示。

  因此,CNNIC可以很轻松地给自己的ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。

  ★如何清理门户?

  其实网上关于如何去掉证书的操作指南,多如牛毛,所以就简单说一下。

  有些浏览器(IE、Chrome、Safari)使用的是操作系统的证书体系。这种情况下,你需要把CNNIC证书从操作系统的证书体系中去掉。还有些浏览器(比如Firefox、Opera)是自己带了一套证书体系。你只要在其配置界面,把不要的证书去除即可。下面分不同的浏览器,不同的操作系统,分别介绍。

  ◇清理Windows的证书(适用IE、Chrome、Safari)

  对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:

  1. 运行Windows的证书管理器(到命令行执行certmgr.msc)。

  2. 选中“受信任的根证书颁发机构”=>“证书”。

  3. 查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。

  4. 先翻墙到“这个页面”下载现成的CNNIC证书(要解压缩出来)。

  5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。

  6. 出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。

  7. 选中CNNIC证书,点右键。在右键菜单中点“属性”。

  8. 在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。

  9. 最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。

  注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。

  ◇清理苹果Mac OS的证书(适用Safari、Chrome)

  对于使用Mac OS下的Safari或Chrome浏览器,则需要执行如下步骤:请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到CNNIC的证书并双击,改为“永不信任”。

  ◇清理Linux的证书(适用Chrome、Safari)

  对于Debian和Ubuntu系统,以管理员权限进行如下操作:

  方法1:运行命令:dpkg-reconfigure ca-certificates 会出现一个图形界面,把CNNIC证书不选,并确认。

  方法2:编辑 /etc/ca-certificates.conf 文件,把CNNIC证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。

  注:对于其它Linux发行版本,操作类似。

  ◇清理Firefox的证书

  不论是在哪个操作系统下,只要你用的是Firefox浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:

  1. 从菜单“工具”=>“选项” ,打开选项对话框

  2. 切换到“高级”部分,选中“加密”标签页,点“查看证书”按钮。

  3. 在证书对话框中,切换到“证书机构”。

  4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。

  注:如果某个证书是Firefox自带的,则删除之后,下次再打开该对话框,此证书还在。不过不要紧,它的所有“信任设置”,都已经被清空了。

  ◇清理Opera的证书

  不论是在哪个操作系统下,只要你用的是Opera浏览器(它的证书体系独立于操作系统的),则需要执行如下步骤:

  1. 从菜单“工具”=>“首选项” ,打开首选项对话框

  2. 切换到“高级”标签页,在左边选择“安全性”这项。

  3. 点“管理证书”按钮,出来一个证书的对话框。切换到“证书颁发机构”标签页。

  4. 找到CNNIC的证书并选中,点“查看”按钮,在证书属性对话框中,把“允许连接到使用此证书的网站”的打勾去掉

  注:这是基于Opera 10.10进行操作。新版本的界面可能略有差异。

  ★如何确认门户已经清理干净?

  为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.cnnic.cn 记得用 HTTPS 协议哦。

  如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了 :-)

  如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。

  ★可能的副作用

  有些国内网站已经开始使用CNNIC的证书,目前已经知道的有163邮箱(真鄙视网易)。但是甭担心。去除证书后,浏览器在访问上述网站时,会给出一个证书的安全警告。你只需添加一个安全例外即可。

CNNIC

  作者:编程随想,原文链接。 (注释:因国内网络环境问题的影响,原文的部分内容经过了删减。)

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    SpicyCat   说道:
    我不是网络专家,但是我想说说我对这件事的理解。HTTPS从设计角度讲,是安全的,即使政府想监控也监控不了。而证书是HTTPS通信的重要一环,如果证书出了问题,就像你家门的锁出了问题一样,HTTPS就成了摆设,任人监控。CNNIC证书就是这样的证书,我估计政府的理想就是所有国内的网站都用CNNIC的证书,这样所有的网络通信对于政府就都是透明的了。
    也许有人会觉得,反正我也不是啥重要人物,监控就监控呗。如果你这样想,那你没必要看这篇文章。但我觉得,如果自己身后每时每刻都有一双眼睛监视着自己,心里总是不爽。现在公共场所的摄像头旁边都弄了提示“此处有摄像头”,为啥网络监控还弄这么隐蔽?像是做什么不可告人的事情。
    支持(145反对(32回复
  1. 2
    coolwdp   说道:
    国内的包括支付宝,各种网银的所谓安全控件,都会给系统塞入根证书,并且都是最高权限的!简直就是为了安全把墙拆了,然后告诉你装个防盗门更安全。。
    支持(60反对(26回复
  1. 3
    艾伦大师兄   说道:
    他吗的这个必须赞!
    支持(49反对(21回复
  1. 4
    谷粉搜搜   说道:
    致攻击谷粉搜搜的那些人(求转发)
    作者: cjx分类: 谷歌搜索引擎, 谷粉专题, 谷粉学术发布时间: 2015-01-23 12:15ė614条评论
    谷粉搜搜(gfsoso.c欧m)是一个基于谷歌搜索数据提供学术搜索,网页搜索,翻译等偏科研,技术类的搜索引擎,主要是为方便高校师生提供文献查找,技术人员精确搜索资料以及外贸人员翻译等专业性领域使用。这样的一个便于搜索资料的搜索引擎,却每天要承受来自大量恶意IP的接近上千万次攻击,实在是让人非常费解和无奈。
    请各位攻击高手高抬贵手,如果你们真的很需要谷歌的数据,欢迎你们直接访问谷歌,以你们的技术我相信这实在不是那么困难的事情。我们在学术搜索和网页搜索有很多功能需要我们开发完善,实在无法这样疲于天天应对攻击了。
    在某些论坛我们甚至看到了讨论如何抓取我们学术搜索页面的讨论帖:
    h踢tp://segmentfault.c欧m/q/1010000002503509
    请停手吧!
    求看过此文的朋友转发,让那些攻击者们看到,也求支招!!!
    支持(45反对(22回复
  1. 5
    torobucks   说道:
    还有2个带China的也一并禁了。
    支持(36反对(19回复
  1. 6
    keke   说道:
    我是mac osx,来到钥匙串界面,把锁打开允许修改,而后找到cnnic的证书点击never trust,可是它没有什么应用按钮,窗口关闭后再打开设置依然是使用系统默认设置,流氓网站的打开也一切照常,这是什么问题呢?
    支持(31反对(16回复
  1. 7
    澳洲的牛牛   说道:
    主要是避免官方的中间人攻击。如果CNNIC现在属于网信办了,呵呵,那天他们自己给中间人攻击者发一个证书,浏览器根本不会报警。现在的中间人攻击只是试水,没有“合法”的证书,正常的浏览器会出现警告。
    支持(35反对(22回复
  1. 8
    tutugreen   说道:
    ←_←早就设过了,几年前的文章。。。
    支持(25反对(14回复
  1. 9
    dragon龙猫   说道:
    完蛋,似乎禁用后战网打不开了……
    支持(34反对(25回复
  1. 10
    lksle   说道:
    这货会居然会阻止你访问linux公社,禁止后访问正常。
    支持(8反对(2回复
  1. 11
    LeonharT_SH   说道:
    删除这个证书,12306购票有影响吗?
    支持(25反对(21回复
  1. 12
    编程随想   说道:
    果然是编程随想兄的文章。看完第一段,发觉是编程随想兄的文风,立刻拖到文章底部,果然是编程随想兄的文章。
    关于版权声明的问题,我觉得,带有作者名字及原文链接,及删减说明即可。毕竟墙内不比墙外,我想编程随想兄也不会介意的,同时觉得月光应该已经问过编程随想兄了。
    支持(27反对(23回复
  1. 13
    tkiller   说道:
    支付宝的证书也是超级权限啊,cnnic是肯定要清除的,不然后患无穷!
    支持(25反对(21回复
  1. 14
    张勇Cornel   说道:
    这样做的好处是?
    支持(23反对(20回复
  1. 15
    批判本   说道:
    这样做的好处是???
    支持(26反对(23回复
  1. 16
    江小渔   说道:
    不明觉厉........
    支持(24反对(21回复
  1. 17
    锋兄哥子   说道:
    OS X需要这样做么?
    支持(24反对(21回复
  1. 18
    Replayo   说道:
    完全没用,过一段时间还会回来的
    支持(28反对(25回复
  1. 19
    木夕   说道:
    恩恩,我在ubuntu下使用dpkg-reconfig ca-certification来进行操作时,发现有三个选项,选择一个后,进入之后发现各个证书前都是一个星号,而且不知道按什么键进行选择,按enter后就直接更新ca证书。希望给我进一步讲讲操作方法
    支持(27反对(24回复
  1. 20
    弗睿man   说道:
    每天都来看一篇,学到很多,支持月光!反正我按上面步骤做了。
    支持(24反对(22回复
  1. 21
    水与火的较量   说道:
    win7没有你说的停止选项阿
    支持(25反对(24回复
  1. 22
    ggw   说道:
    不是CNNIC,国内还有好几个。
    支持(27反对(26回复
  1. 23
    丁丁猫吃皮皮虾   说道:
    我是英文的系统,找不到CNNIC啊
    支持(20反对(20回复
  1. 24
    游客   说道:
    就会偷别人文章,既然是转载的干嘛不把原文网址贴出来
    支持(0反对(0回复
  1. 25
    王志安   说道:
    如果哪天湾湾的证书机构对steam,origin,uplay和gog也搞这种中间人攻击,那么,考验浏览器厂商的时候到了!
    支持(0反对(0回复
  1. 26
    淡定打酱油路过   说道:
    【删除CNNIC证书的方法】删除的主要原因是避免“中间人攻击”,删除方法:命令行执行certmgr.msc,“受信任的根证书颁发机构”-“证书”,CNNIC证书上点右键,“停用这个证书的所有目的”,然后确定。
    支持(21反对(22回复
  1. 27
    搞笑   说道:
    请问163邮箱哪里用了CNNIC的证书?难道不是GeoTrust
    支持(24反对(25回复
  1. 28
    xixi   说道:
    firefox删除之后又自动出现了,什么原因?
    支持(15反对(17回复
  1. 29
    wakemethenyou   说道:
    会不会有国内网站就访问不了了呢
    支持(26反对(28回复
  1. 30
    2418253255   说道:
    免费网站推广,网站友·情·链·接
    lf8888.n e t
    支持(17反对(19回复
  1. 31
    fuckgfw   说道:
    请给出由于该证书导致的"中间人攻击"的证据! =====>>>> 只有有可能性就要排除,这个难理解吗?SB!!!
    支持(7反对(9回复
  1. 32
    一个人天天旅行   说道:
    有免费的fanqiang vpn吗?gmail好几天打不开了
    支持(20反对(23回复
  1. 33
    鄧rrrr竜   说道:
    目前碰到的中间人攻击都不是cnnic签的- -
    支持(20反对(24回复
  1. 34
    jwong   说道:
    对于信用度为负值的
    莫须有
    支持(23反对(27回复
  1. 35
    naniyou   说道:
    呃,我的电脑里居然没有这个证书……
    支持(21反对(27回复
  1. 36
    鸡爪班长   说道:
    这有什么用。。。求讲解。。
    支持(18反对(25回复
  1. 37
    石绍利BNAFIL   说道:
    转需,顺便说,把cnnic证书弄到不受信任的证书列表效果更好
    支持(24反对(31回复
  1. 38
    映刻   说道:
    所以上过什么网站会有这个证书?
    支持(23反对(30回复
  1. 39
    10000   说道:
    你no pic,no jb
    支持(22反对(29回复
  1. 40
    斯大文Stephen_L2   说道:
    po主写了”“主要是避免‘中间人攻击”嘛 有那么难理解咩?
    支持(21反对(31回复
  1. 41
    车站电工李师傅   说道:
    清除这个会不会对日常使用有影响
    支持(22反对(32回复
  1. 42
    Joshua   说道:
    ie怎么添加例外?
    支持(17反对(27回复
  1. 43
    _听_雨   说道:
    这个证书干了什么?
    支持(17反对(29回复
  1. 44
    lxw-CNNIC   说道:
    请给出由于该证书导致的"中间人攻击"的证据!
    支持(28反对(102回复

发表留言