↺ 返回  电子报 正體版
 
CNNIC CA──最最最严重安全警告!
 
网文
【人民报消息】由 WCM 于 星期一, 2010-02-01 20:00 发表

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC--对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它--偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?

我对此有3个疑问:

1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

* 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部份的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部份人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧(结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

分享到: Facebook Twitter Google+ LinkedIn StumbleUpon Pinterest Email
 
 
 
 
 
首家海外自由电视平台问世 突破封锁新利器🖼️ 2010/7/16 (29,421次)
骇客国度──中共一手操控网路攻击 2010/5/10 (18,607次)
软件大全!全民翻墙破网禁🖼️ 2010/3/25 (22,504次)
春晚咋回事?刘谦败给冯巩的新闻被删(多图)(更新) 2010/3/7 (36,745次)
美国锁定攻击谷歌间谍软体程式的关键人物 2010/2/22 (15,474次)
瑞典外长:谷歌中国风波凸现网络大战▶️ 2010/2/5 (66,132次)
外电:中共政权网站上有病毒软件 2010/1/31 (16,059次)
中共对美国最具破坏性的网络攻击 2010/1/26 (17,236次)
中共“国家级”网路攻击曝光 国际抗议 2010/1/19 (15,752次)
6天没响儿,重庆地震 薄熙来干啥子去了 2010/2/6 (33,999次)
精彩偷拍!结局…怎么会这样🖼️ 2010/2/6 (40,041次)
这个图片新闻揭示背后有故事🖼️ 2010/2/5 (37,546次)
机率为百亿分之一和万亿分之一的奇闻🖼️ 2010/2/5 (41,016次)
李庄在法庭上说的话您听懂了吗?🖼️ 2010/2/4 (30,580次)
实拍!党妈妈在新华网卖淫🖼️ 2010/2/4 (52,204次)
内幕惊人!龚如心家属还没到哭的时候🖼️ 2010/2/4 (36,498次)
小笑话:中共帮美国纪录片获奥斯卡🖼️ 2010/2/3 (25,205次)
薄熙来想干么!遭文强“潜规则”的女明星竟是男人🖼️ 2010/2/2 (51,981次)

老江衰到家!小胡把宋祖英恶心成这样🖼️ 2010/2/1 (47,221次)
“楼脆脆”即将剧终🖼️ 2010/2/1 (28,323次)
小笑话:希望境外黑客经常来黑🖼️ 2010/1/31 (36,442次)
一个离奇的强奸判决 2010/1/31 (28,923次)
喝高了!新华网这消息忒说不过去🖼️ 2010/1/31 (31,469次)
小笑话:小英子爱上老江的原因🖼️ 2010/1/30 (28,951次)
新华网的图片新闻让人惊了两惊🖼️ 2010/1/30 (42,128次)
中共在石家庄形势严重🖼️ 2010/1/29 (35,823次)
江的绝密被李长春抖落出来了 2010/1/28 (48,733次)
虎年 正虎把中共噎入虎口🖼️ 2010/1/27 (29,276次)
周永康,你老婆喊你跟她一起回家🖼️ 2010/1/26 (39,858次)
绝无仅有!薄熙来的新语录震惊世界🖼️ 2010/1/25 (50,935次)
老江要是遇到这位日本新闻女主播…🖼️ 2010/1/24 (42,143次)
震惊!折腾半天…文强没犯多大事儿🖼️ 2010/1/24 (42,338次)
咬足协高官 一口下去中共受不了🖼️ 2010/1/23 (29,507次)
Google两创办人的举动耐人寻味 2010/1/23 (27,174次)
港首曾荫权当起了中共间谍 2010/1/22 (35,971次)
江绵恒在胡面前从来没这样笑过🖼️ 2010/1/21 (50,889次)
难以置信的图片!事发机率亿万分之一🖼️ 2010/1/21 (38,381次)
宋祖英居首!中共发布演艺名人道德修养榜🖼️ 2010/1/19 (42,234次)
小笑话:“伟光正”两头抓 2010/1/18 (24,682次)
坚持“不作恶” 谷歌的腿没有发软 2010/1/18 (28,921次)
到那时,谷歌会不请自来🖼️ 2010/1/17 (29,453次)
被认定影射政治局 韩寒杂志首期封面被毙🖼️ 2010/1/17 (35,783次)
八成已遭不测!高智晟曾以“唱红”维持生命🖼️ 2010/1/16 (44,245次)
小笑话:“我”怎么向谷歌妥协🖼️ 2010/1/15 (32,853次)
 
人民报网站服务条款
 
关于我们
 
反馈信箱:[email protected]