恩，今天这事儿算是又流行起来了，这普及一下挺好，不只是跨省的事儿，各种密码个人信息没人想被tg留下吧
我转发个科普文章吧

CNNIC CA的危害到底有多大？（http://lusiming.wordpress.com/20 ... %E5%A4%A7%EF%BC%9F/）

昨天一个朋友在网上问我，人人都在删CNNIC的CA。这个东西除了能用来钓鱼，还有什么危害？我码了不少字才大概向他说清其中的原理。现在想试试看用简单的原理来说明这件事情。

首先我们知道，互联网是不安全的。我们传输的任何信息，如果没有加密，都可以被GFW以非常低的成本窃听。某种程度上来说，就像在菜市场用各种方言喊话一样。

密码的出现从表面上解决了一个问题，就是让网站知道用户是谁。当你敲密码框里面的***时候，貌似这是你和网站或者银行的秘密通信。可是别忘记了，一切信息还是靠在菜市场喊来喊去的。怎么加密你这个密码，就需要很多协议来保障了。

协议的意思是，我们必须按照步骤先做n件事情，没有问题之后才开始交换信息。现实应用中有很多好的协议和很多坏的协议。具体可以看《应用密码学》。为了解决“怎么在不安全的网络上传出一个秘密信息”这个问题，或者说如何在菜市场用普通话通知所有猪肉贩子开始注水又不让摊位前的消费者听懂，有人发明了SSL/TSL（http://en.wikipedia.org/wiki/Transport_Layer_Security）这套协议。

协议的详情我就不分析了。简单来说就是双方商定一个密码然后加密通信（喊话）的过程。加密算法本身是可靠的，但是还有一个问题在里面：你在送出你的Gmail密码时候，怎么确保对方真的是Gmail而不是Qmail呢？这里就涉及到一个鉴证的问题了。

假如你收到父母的一封平信，你可以从字迹以及签名来判断这封信是真的而不是隔壁坏孩子的恶作剧。但是数字通信原本是无字迹可言的。有人就用了和加密相近的公钥系统来解决这个问题。这个系统有两把钥匙，公钥签名，私钥可以验证签名。好比一个饼掰成两半，n年后再靠它相认。这样，当你要与父母通信的时候，只要你拿上私钥，父母拿上公钥，先鉴证父母的真实性，然后才开始说真心话。

单独的公/私钥就能够保证对特定对象的鉴证了。但是这在互联网上是行不通的，因为你可能要访问许多个网站，还会有新开的网站出现。没有人能预先保存这么多网站的私钥或者预见到未来需要的私钥。为了解决这个问题，引出了证书的概念。所谓证书，就是你没见过这张纸，但是你认得上面的章，所以你也相信这个合同是有效的。这种信任是可以传递的。假如你信任A，A说B是值得信任的，B说C是值得信任的，那么C对你来说也是可以信任的了。

我们常用的信任系统就是三层的：网站是第三层，上面有一层中间证书颁发者，再顶上都是所谓的数字证书认证中心（CA：http://en.wikipedia.org/wiki/Certificate_authority）。之所以当中夹了一层，是因为管理起来方便。好比有一个律师事务所，下面有很多律师，随便哪个都是值得信任的。如果某个新来的律师你没见过，但是律师事务所说他办事可靠，那末你也可以相信他了。

这样的律师事务所是有限数量的，律师相对多一些。比如我们的Gmail，是通过这样一层证书链来鉴证的：



Verisign –> Thawte –> mail.google.com

其中的Verisign就是一个CA。它的根证书是随着操作系统或者浏览器直接装进来的，有着严格的管理和良好的信誉（曾经也犯过错，见下面）。所以我们相信我们与Gmail正在发生的通信是加密并且没有被钓鱼。

现在的问题是，CNNIC也成了一个CA。我们知道CNNIC和严格管理或者良好信誉更本不搭界。它刚刚还背信弃义地删除个人用户花钱注册的.cn域名。换了你，你会相信它颁布出的证书么？

真正的隐患是在证书链的信任里面：刚才说了证书只要被任何一个上级鉴证有效，那么浏览器都是会认为通信是安全的。我们可以小心假设一种情况：CNNIC的一个下级证书颁发机构出了一个boc.cn的证书，但是其持有者却是我个人而不是中国银行。我能用它做什么呢？

    我只要截获我公司任何人的网银通信，用我的假证书与财务建立起通信，然后再把财务发来的密码/私钥/电子令牌伪随机数原封不动转发给中国银行的网站。当财务发出划账指令的时候，我再把账户改成我的号码，数字加个零什么的，这样一次钓鱼就完成了。

这个事情的恐怖之处在于，常用的技术都无法防范其实施！无论你的网银用了什么令牌或者加密狗什么的都没有用。（只有下载证书可以防范。但是有多少用户用呢？）

前面那个只是假证书用来犯罪的用途。假证书结合GFW还能让CNN放新闻联播。错误的证书一旦颁出是有点难吊销的。如果打开WIndows/IE的证书储存，你总会看到两个过期的假证书：



这两个证书虽然早就过期截至了，但是仍然存在于现在和未来发布的所有Windows系统的“未受信任的发行者”里面，时刻防止计算机因为时间错误而被误导了。

假如前面这么多内容都能理解，那么你也不难理解什么叫“在CNNIC和GFW面前，不再有互联网安全”。假如我能操纵CNNIC和GFW，只要坐在家里便能监听和篡改任何一个境内电脑的任何通信。某某人收到Yahoo Mail的假邮件而自投罗网的事情会更普遍的出现。而且，当色情违法内容出现在某人的发件箱的时候，他也无法抵赖。因为（正常的）数字证书鉴证会验证内容出自本人。同样的，任何程序都可能被验证成系统更新无声无息地装入你的电脑里面，偷偷打开你的网络摄像头和Mic。

是不是该删除CNNIC证书，这不应该是存有“我的银行里没有多少钱，让他们偷好了”或者“我没什么自拍照，不怕被人看”的侥幸时候，这是生在这个国度最后一点保护自己隐私的途径了。

[ 本帖最后由 wpang 于 2012-7-31 17:08 编辑 ]

引用:

原帖由 SONIC3D 于 2012-7-31 19:03 发表
原作者肯定无脑喷喷惯了,了解点技术立刻码出一篇文章来测试水果众的智商了...

全文核心只基于一句话"我们知道CNNIC和严格管理或者良好信誉更本不搭界。它刚刚还背信弃义地删除个人用户花钱注册的.cn域名。"，前者 ...

您不用一到这区就这么亢奋，这事儿根本不是Mac圈里的，也他妈不是针对Mac说的，原文也是写给所有用户的，本来就是10年火了一阵儿的事儿，bugzilla那帖子现在还在呢https://bugzilla.mozilla.org/show_bug.cgi?id=542689，还有人在一直往上传证据，mac用户都他妈妇女儿童，其实连怀疑这些玩意儿的能力都没有啊

[ 本帖最后由 wpang 于 2012-7-31 19:20 编辑 ]