Board logo

标题: [电脑] CNNIC CA:最最最严重安全警告! [打印本页]
作者: 红叶    时间: 2010-2-1 20:48     标题: CNNIC CA:最最最严重安全警告!

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。


背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。


发生了什么事

最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!


意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:

   1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
   2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
   3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?


影响范围

基本上所有浏览器的所有用户均受影响!


行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

    * 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
    * 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
    * 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
    * 还没有完,狡兔有三窟。
    * 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
    * 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
    * 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!


行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧(结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:
DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!
作者: himura    时间: 2010-2-1 21:02

防火防盗防TG!
作者: 娘们的焦点    时间: 2010-2-1 21:03

[posted by wap]

这个那么严重?等砖家解惑
作者: vyou    时间: 2010-2-1 21:07

IE内核的怎么防范?我一直在用遨游。。
作者: blood    时间: 2010-2-1 21:09

不明真相p民路过
作者: 伪    时间: 2010-2-1 21:12

专业术语太多,完全看不懂。。。
作者: saintwei    时间: 2010-2-1 21:22

已经搞定了。
作者: 06e3    时间: 2010-2-1 21:52

看这里
http://felixcat.net/2010/01/throw-out-cnnic/
作者: tinjo    时间: 2010-2-1 22:01

FF3.5.7
没找到CNNIC的证书
作者: imwhatim    时间: 2010-2-1 22:07

日,老哥在CNNIC.
这单位归工信部,但行政上归中科院,因为按照国际惯例,它不能有政府背景,于是挂靠中科院这个“民间组织”了。其对TG必然是绝对服从。
作者: 绯雨流    时间: 2010-2-1 22:16

没意义,你以为你的银行密码就安全吗
作者: 哗啦哗啦    时间: 2010-2-1 22:34

CNNIC。。。坚决踢出去!
作者: cc0128    时间: 2010-2-1 23:33

[posted by wap, platform: Nokia]

靠。。。。
作者: whenkidspunk    时间: 2010-2-1 23:59

[posted by wap, platform: Nokia]

我操真他妈可怕啊
作者: 离神最近的人    时间: 2010-2-2 09:31

[posted by wap]

当年我第一次遭遇的流氓软件就是cnnic的,对这个名字印象深刻啊!
作者: masterfish    时间: 2010-2-2 09:44

到底这个的危害是什么?
依照其原理(流氓软件而不是木马),最多是恶心你而不是盗你的密码吧?
作者: viperking    时间: 2010-2-2 10:14

CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。

简单的说,CA被劫持,意味着SSL链接可能被监听,伪造等等吧
作者: Wbird    时间: 2010-2-2 11:24

话说,我的FF里面怎么原来就没打钩?
作者: lastescaper    时间: 2010-2-2 12:53

[posted by wap, platform: Nokia (E72)]

草泥马GFW
作者: 凡事灵    时间: 2010-2-2 14:27

RT @WCM: 同学们,AutoProxy 官网因为 CNNIC 一文被 DDOS 服务器下线,以下是存档: http://tinyurl.com/y8gy3d7 放弃版权,欢迎传播。 //CNNIC开始玩黑的了
作者: lippy    时间: 2010-2-2 16:31

原来在我们公司混不下去的,一水都去CNNIC养老去了
作者: shacg    时间: 2010-2-2 16:47

列表里怎么找不到CNNIC root
作者: FoxfoO    时间: 2010-2-2 17:16

Firefox 3.6下没有CNNIC的证书
作者: ryuetsuya    时间: 2010-2-2 17:23

未找到CNNIC ROOT
作者: cc0128    时间: 2010-2-2 17:42

引用:
原帖由 masterfish 于 2010-2-2 09:44 发表
到底这个的危害是什么?
依照其原理(流氓软件而不是木马),最多是恶心你而不是盗你的密码吧?
伪造证书。
然后你上网啊,什么gmail的帐号密码,邮件内容,支付宝帐号密码,网银帐号密码,gfw都可以看了。
作者: shixn    时间: 2010-2-2 17:47

马桶怎么搞?
作者: dirlee    时间: 2010-2-2 17:48

chrome怎么搞 , IE怎么搞?
作者: pangeng    时间: 2010-2-2 18:09

safari就没找到certificate这项。。。。
作者: VINO    时间: 2010-2-2 18:55

[posted by wap, platform: UCWEB (7)]

马克关注一下
作者: ryuetsuya    时间: 2010-2-2 19:00

引用:
原帖由 dirlee 于 2010-2-2 17:48 发表
chrome怎么搞 , IE怎么搞?
臭美在选项-高级设置-管理证书
作者: zenhigh    时间: 2010-2-2 20:41

chrome怎么弄,所有的选项都不打勾?

[ 本帖最后由 zenhigh 于 2010-2-2 20:42 编辑 ]
作者: 动感操人    时间: 2010-2-2 21:47

[posted by wap, platform: BlackBerry]

此贴必需关注!
作者: beterhans    时间: 2010-2-3 01:04

我在系统里找了半天没找到 CNNIC 的 证书



欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/) Powered by Discuz! 6.0.0