刚刚发现 CNNIC 的证书穿上马甲了！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3647 天前的主题，其中的信息可能已经有所发展或是发生改变。

在firefox最新版里面，除了以前的

CNNIC
-CNNIC ROOT 之外，又多了

china internet network information center
-china internet network information center ev certificates root

这个条目，CNNIC开始做马甲了……

第 1 条附言 · 2015-09-18 14:12:44 +08:00

楼下不少说“既然 CNNIC 通过正规途径进入了 CA 所以我要信任”，结果呢？今年（ 2015 年） 4 月份的新闻充分说明了 CNNIC 的尿性。

CNNIC

条目

network

18 条回复 • 2015-09-18 14:15:16 +08:00

Slienc7

2014-11-20 20:57:21 +08:00

certmgr.msc-删删删

byw,发现yandex自带的WOT插件拦截了cnnic.cn域名
http://www.mywot.com/scorecard/cnnic.cn?utm_source=addon&utm_content=warn-viewsc

Jreen

2014-11-20 21:01:55 +08:00

我的电脑没有china internet network information center
倒是有三个阿里巴巴的。已经禁止了

lsylsy2

2014-11-20 21:19:16 +08:00

我的观点是
CNNIC（和wosign等）通过正规途径，在有国际审核的情况下进入我电脑的CA，我是接受的；禁用他们，最大受害的还是因为各种原因选择这些CA的用户，而他们不一定是作恶的；这些CA自己如果做了坏事，很容易就被发现并且承担恶果。
真正需要警惕的是支付宝、财付通、12306、各种网银以“安全控件”的名义，未经正规途径审核的CA；他们想干坏事，成本小得多，后果严重得多。

20140930

2014-11-20 21:32:25 +08:00

非常赞同3楼的观点。

wheatcuican

2014-11-20 21:49:54 +08:00

@lsylsy2 +10086

hjc4869

2014-11-20 22:31:32 +08:00

@xgowex 不能直接删，过了几分钟又回来了，更不能因为这个关闭自动更新CA。
正确做法是加入revoke列表。
@lsylsy2 我觉得CNNIC就算用来做坏事也不会大规模。
大概是已经盯上了某人，拿CNNIC单独劫持掉SSL通信，获取密码信息等。
被盯到这个程度就已经很麻烦了，感觉逃亡国外吧。
老老实实做事不会被这种程度的劫持，因为一旦CNNIC被抓到了证据那么不仅CA会在几天内从所有电脑上消失，还会导致gov机构名誉受损，损失太大了。。

lsylsy2

2014-11-20 23:20:54 +08:00

@hjc4869 我觉着我没犯下有必要使用这种手段来盯我的事情，so无所谓了

Slienc7

2014-11-20 23:21:03 +08:00

不明白要声誉没声誉，要经验没经验，要用户没用户，要名气没名气的CNNIC ROOT是如何被大多OS默认信任的

lsylsy2

2014-11-20 23:22:26 +08:00

xoxo

2014-11-20 23:23:45 +08:00

@xgowex 能通过WebTrust审计的CA就有资格向各大浏览器申请添加信任.

Cu635

2014-11-21 13:08:53 +08:00

@lsylsy2 CNNIC在申请信任的时候当然不会做任何恶心人的事情，之前CNNIC做的恶心人的事情在申请的时候当然会隐瞒，而那些事情没有哪个国际化的大型网站报道过，自然知道的人不多。所以CNNIC在国际机构的申请还是能通过的。

至于成为了受信任的根证书颁发机构了之后会怎么样，现在确实还不知道。不过要注意到两点：

1、CNNIC在国内是唯一的操作系统、浏览器自带“受信任的根证书颁发机构”，这是垄断地位。

2、CNNIC的第一个申请的名称“CNNIC-CNNIC ROOT”过期时间是2027年4月16日，但是我是今天才注意到CNNIC又申请了一个“China Internet Network Information Center-china internet network information center ev certificates root”的马甲，当然是早就出现了。

CNNIC ROOT是2007年进入“受信任的根证书颁发机构”的，在远远早于CNNIC的过期时间的时候，CNNIC就又申请了这个马甲并且把CNNIC ROOT的证书废除了（This certificate was revoked by its certification authority.），这不是很有问题么。

Cu635

2014-11-21 13:09:36 +08:00

@lsylsy2 求教怎么插图？

lsylsy2

2014-11-21 13:16:50 +08:00

@Cu635 微博是个好图床，然后直接把图片url粘贴

lsylsy2

2014-11-21 13:19:03 +08:00

@Cu635 我这里看，旧证书并未被吊销，“This certificate was revoked by its certification authority.”很可能是因为你把它拖进不信任列表了

lsylsy2

2014-11-21 13:20:36 +08:00

国服战网用的就是你说的“已经被废除”的CNNIC ROOT

20140930

2014-11-21 14:04:41 +08:00

看9楼的图片感觉国内只要是个互联网公司，以安全的名义搞个插件非要给你加个自己家弄得CA这是为什么？

Cu635

2015-09-18 14:10:53 +08:00

@lsylsy2 现在说的有点晚了，不过刚想起来我自己发过这么一个帖子……

今年（ 2015 年） 3 月份， google 发现 CNNIC 名下的一批假证书， 4 月份宣布不再信任 CNNIC 证书。之后 google 、 mozilla 、 Microsoft 跟进，都已经不信任 CNNIC 了。为了不让用户不方便，当时是以白名单的方式让用户继续使用的。

现在 5 个月过去了，不知道还在没在白名单里。

Cu635

2015-09-18 14:15:16 +08:00

@20140930 @20140930 @hjc4869 @lsylsy2
见上面我的回复。
新闻我就不贴地址了，主要是现在刚想起来我自己在这里发过这么一篇帖子。