Home > 其他 > 删除流氓CNNIC的CA证书

删除流氓CNNIC的CA证书

今天随便逛了逛墙外的博客,才发现,原来CNNIC这个流氓竟又不知不觉在我们系统里面布下了一颗炸弹——CA证书。

这个证书,是微软、火狐默认安装进去的,原因是CNNIC公关不错,将微软、火狐都拿下了,依靠这个CA证书,能配合GFW干好多坏事情,具体请参考这里《 CNNIC证书的危害及各种清除方法》

CNNIC有多么流氓,这里就不举证了,大家可以直接google;下面直接讲重点,如何清除掉这个毒瘤!

1、开始——运行——输入certmgr.msc进入证书列表页面

2、打开“受信任的根证书颁发机构”——“证书”

3、找到CNNIC和Entrust相关的证书,右键属性:

 

4、选中“禁用此证书的所有目的”

 

5、将这些证书移动到“不信任的证书”

 

ok,完工,现在来验证下成果,输入https ://www.enum.cn,如果提示如下:

 

恭喜,说明已经成功清除流氓CA证书了。

原创文章,转载请注明: 转载自三叶草

本文链接地址:http://www.anjing.me/1092.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

相关日志

POSTED ON 2010/09/20, , ,

Comments:23

Leave my own
  1. #1 Leyeang
    10/09/20 回复

    被cnnic这些流氓压迫很久了
    老实说,都已经麻木了。面对革命和反抗,大部分时间是在麻木的看着。鲁迅,曾经弃医从文就是为了唤醒国人的麻木,而现在,鲁迅都要被踢走了。估计,zf更需要麻木的民众吧

  2. #2 学夫子
    10/09/20 回复

    CNNIC。臭名昭著的,

  3. #3 coldplains
    10/09/20 回复

    好吧 俺已经删除了

  4. #4 Code之行人
    10/09/20 回复

    这个啊,无奈了,我看看我饿有没有被强奸了

  5. #5 christian audigier
    10/09/20 回复

    不说还不知道呢,谢谢啊

  6. #6 jiechic
    10/09/20 回复

    是这样的呀?我研究一下,准备试试。

  7. #7 翎羽志
    10/09/20 回复

    今天晚上回家就把这个 东东和谐了

  8. #9 博客怎么赚钱
    10/09/20 回复

     我也是很早发现了。

    • #10 三叶草
      10/09/20 回复

      嘿嘿…你的博客好,教我赚钱,赶紧收藏先~

  9. #11 ZDAvril
    10/09/20 回复

    CNNIC以前听说过。不过对他不了解。

    • #12 三叶草
      10/09/20 回复

      就是一个垃圾机构…一个打着非营利性质,疯狂垄断赚钱的机构

  10. #13 joyla
    10/09/20 回复

    我按照你的步骤  最后我的没有弹出来呢??

    • #14 三叶草
      10/09/20 回复

      难道是传说中的RP问题?
      建议你到我文章给点那个链接看看,比较多详细

  11. #15 自由小魔女
    10/09/20 回复

    我是在海外,用不着呢!呵呵。不过谢谢分享,又长一智了呢!

  12. #17 yu
    10/09/20 回复

    在学校不能翻墙啊..

  13. #18 右脑王英语学习机
    10/09/20 回复

    流氓者,格杀勿论!

  14. #19 Code
    10/09/28 回复

    没想到天朝还来这一招,果断扼杀。

  15. #20 千与琥珀
    10/09/30 回复

    谢谢博主提醒,今晚回去就把它给河蟹掉!

  16. #21 听说
    10/10/29 回复

    回去看看有不有这个问题  太卑鄙了

  17. #22 NANI
    11/02/19 回复

    今天才知道还有这种恶劣做法,FUCK 狗墙,违反了仙法。

  18. #23 三叶草
    12/11/13 回复

    http://bbs.city.tianya.cn/tianyacity/content/284/1/179712.shtml

     行动第一步:立即安全防御
      在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。
      
      菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
      这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的记录,就是这个东西,告诉 Firefox,我们不信任它!
      选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
      还没有完,狡兔有三窟。
      接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL” (如果没有,访问一下 这个网站 就有了)
      别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
      最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!
      
      
      行动第二步:治标还需治本
      几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?
      
      所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。
      
      首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。
      
      其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。
      
      除此之外,来投个票吧(结果统计)!
      
      最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!
      
      各位:
      DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

Leave a Reply

TOP