在Twitter上惊闻“微软把CNNIC列为根证书发布者”,赶紧Google一把,发现Mozilla同样也已经在3.6版的Firefox里这么做了。
出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。
因为IE/Chrome采用微软的CA目录,而微软现在暂未将CNNIC加入,因此需要先从Firefox中导出这几个证书,再添加到Windows的“不信任”列表(更新:现在可以直接从Windows里导入再导入了,操作类似),以防范于未然。下面便是具体的步骤了(包括IE/Chrome/Firefox):
1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步(其中CNNIC SSL非自带证书!):CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt
2、打开Firefox浏览器,工具(Tools)->选项(Options)->高级(Advanced)->加密(Encryption)->查看证书(View Certificates)
3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项,按导出(Export)(备份到本地),然后编辑(Edit),去除里面的三个勾选,然后单击确定(OK)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书,同样导出并去除勾选。(注:Entrust.net这个也是验证CNNIC所用的证书)
5、打开开始菜单->运行(或者直接按Win-R)
6、输入certmgr.msc,打开Windows的证书管理器。
7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项,在”所有任务(All Tasks)“子菜单下单击”导入(Import)…”
8、分别找到刚才保存的三个证书,依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
(感谢 Jimmy Xu 供图)
另附上网友补充的Safari/Opera设置方法:
Mac下Safari操作步骤(感谢推友 @xzzxyd 提供!):
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在Spotlight中搜索”Keychain Access“或”钥匙串访问“,打开后搜索CNNIC,在”信任”中标记为”永不信任“~。
VPN代理服务器:都没人提Opera的吗?Ctrl+F12 -安全性-管理证书-证书办法机构-CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!
——————1/29 6:30 PM更新——————
经验证,CNNIC SSL证书非Firefox 3.6自带,没有找到属正常情况;另外,上述步骤3/4有变化,已删除证书 CNNIC SSL 发现无效的朋友,可以将 CNNIC SSL 证书按照上述3/4步的步骤重新操作一次,而非删除,即可。
——————1/27 7:30 PM更新——————
不需要关闭自动更新,上述步骤多了第9步,请注意!
——————1/27 6:15 PM更新!!——————
0、在默认情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:
0a:对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove Programs)->添加/删除windows组件(Add/Remove Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”
(感谢推友@tOmMyanG供图!)
0b:对于Windows Vista/Windows 7用户:组策略(运行->gpedit.msc)->计算机配置(Computer Configuration)->管理模板(Administrative Templates)->系统(System)->Internet 通信管理(Internet Communication Management)->Internet 通信设置(Internet Communication settings),启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates Update)”
十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)
(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)
我的还没有- –
可能还没更新:)
更新了嘛,上gmail
没找到CNNIC ROOT,汗,后面两个倒是找到了
我检查我的 Chrome 4.0.249.78 时发现 CNNIC 的根证书已经加入,反而 Firefox 3.5.7 里面没有。所以都要检查。系统更新,软件安装和更新都可能会增加新的根证书。
是的,我稍微改一下文章,谢谢提醒:)
twit特游学观光团,特此来学习
添加到 certmgr.msc 的“不信任的证书”之后,在“受信任的根证书颁发机构”中还有 ”CNNIC ROOT“ 和 ”Entrust.net Secure Server Certification Authority“ 两个,是不是应该删除?
不是很清楚,您可以尝试删除与不删除情况下访问 https://www.enum.cn/ 是否提示证书无效:)
学习了,CNNIC,哎!
Entrust.netSecureServerCertificationAuthority证书到底是什么?
cnnic.cn 是用的 Entrust.net Secure Server Certification Authority 颁发的证书。
如果直接访问这个网站没有提示 https://www.enum.cn/ 就是已安装了 CNNIC Root 证书。
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
https://bugzilla.mozilla.org/show_bug.cgi?id=525008
谢谢提醒!
野草倒觉得似无必要。
我主要是担心某天访问Gmail,变成了CNNIC的签名,用户还毫不知情……
只要访问的确实是Google的Gmail,应该就不会有安全隐患吧?
确实是Google的Gmail,仍旧有安全隐患。正因为如此,才要去掉CNNIC。可以看月光博客中的《破解Google Gmail的https新思路》。
如果是DNS劫持,然后虚假IP又被CNNIC自己签名,则浏览器不会有任何警示,仍然可以正常访问Gmail。
证书是一种符合国际通行技术标准的加密传输技术服务,就是把你要传输的信息加上密码,防止明文传输被人截获、信息泄露或中途被篡改,保证信息的完整性、安全性。证书相当于货币,可以看出,与用户使用发生直接关系的是证书(货币),而非根证书(央行)。因此,从技术角度来看根证书是无法做到跟踪或监控网民行为的,就像央行不可能监控到你手里的货币是怎么购买商品一样,因此根证书与网络上出现的监控程序、恶意代码有本质区别。安心吧~
中间人欺骗服务器+伪造的“合法”证书,是可以做到窃取、跟踪网民行为的。尤其在天朝的DNS污染之下。
证书在安装到网站时,必须保证安装网站的域名与申请时的域名完全一致,否则,网站会弹出该网站“此网站的安全证书有问题。”的错误提示。不应该有这种情况出现的~
正是因为如此,如有被CNNIC虚假签名的“合法证书“出现,也便不会有任何错误提示了。
两个方法我都试过,全部都找不到我firefox里面的CNNIC……
3.6新版的Firefox里才有的:)
艹,忘了一直开着PUFF,我竟在美国。
我是直接访问的,为啥我会在澳大利亚?
可能是IP库有问题 >.<
爬牆在米國
你这插件显示我的就没一个对的,我在中国、使用的是Chromium访问、系统是2008r2
(╯﹏╰)
杯具(╯﹏╰)
Untrusted Certificates-不信任的证书
Certificates-证书
All Tasks-所有任务
Import-导入
我是直接下载的证书导入的。只用到了这几步。
如果您不使用Firefox浏览器,这样操作就可以了:)
我每次从firefox里面删掉,下次打开它又自己加进来了,不知道怎么搞。
这个删掉一次就可以了,您单击编辑(Edit),会发现三个勾都处于未勾选,这样这个证书就起不到任何作用了:)
猫猫~我来晚了……我的op里面没有~~~~
貌似OP不可这样操作..我还没弄清楚
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“和”CNNIC SSL“证书,同样导出并删除。
=====
没有找到”CNNIC SSL“
最新3.6版的Firefox里才有的:)
是3.6的
只找到前两个,最后一个”CNNIC SSL“没找到
还有就是Entrust.net Secure Server Certification Authority这个有两个
有两个,请对照一下序列号:)(文中已更新)
”CNNIC SSL“证书这个证书还是没找到.有点奇怪.
确认我的Firefox 中没有这个证书.
用Firefox点击您给的下载地址,弹出提示让我信任并安装,我把所有勾去掉之后安装了.效果应该是一样的吧
应该是一样的效果,可能是Firefox没有自带这个证书……
我的也没有CNNIC SSL这个证书
可能确实是这样,这个证书也是CNNIC采用的,但它不是开始就有的……您可以下载我上面给的一个CNNIC SSL证书,并禁止掉:)
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
不信任CNNIC
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
哦……是在一个可选更新里啊……谢谢!
IE中已加入不信任列表还会提示?
FF中点证书不是点删除,而是点编辑,然后去掉所有的勾还会验证吗?
FF中点删除和点编辑去掉所有勾是同样的结果:)
对了还有一项
Firefox里的“Authorites”
中文是“证书机构”
不用谢,我们都要谢谢你:-)
请问Entrust.netSecureServerCertificationAuthority是什么,也要删除吗?
同问
这个也是CNNIC使用的证书:)
明白了 谢谢^^
在文章中说明一下吧,好多不看留言的
这个是签发CNNIC SSL的证书颁发机构的证书,不是CNNIC用的………………
哦,感谢指正!
中文版的火狐对应的设置,工具—选项—高级—查看证书—证书机构,选中CNNIC组的CNNIC ROOT项,按导出(备份到本地),然后删除。
补充:“高级”选项后应该是“加密”,然后才是“查看证书”。漏了一个。汗~
多谢:)
我小白,不导出,直接删除可以吗?
如果只是使用Firefox的话,可以直接删除.
导出的目的主要是将证书在IE和Chrome上禁用.
繁體中文:工具-選項-進階-加密-檢視憑證清單-憑證機構
匯出 刪除
展开”Untrusted Certificates”,右键单击其下”Certificates“项,在”All Tasks“子菜单下单击”Import…“
中文版windows里面
分别是“不受信任的证书” “证书” “所有任务” “导入”
杯葛CNNIC,杯葛微软
求解“杯葛”……
boycott
Encryption->View Certificates
中文版firefox
分别是“加密”和“查看证书”
多谢!
不错,我建议增加图解教程
我这里是英文版 >.< 那我就先用英文版截图吧,稍候更新!
其实一般是不建议删除的,因为删除证书后可能会出现要求安装的提示。
对于Windows系统,IE/Chrome推荐取消它的证书目的,具体的操作办法是:
打开certmgr.msc,找到CNNIC Root并双击,然后转到详细信息选项卡,点击“编辑属性”按钮,然后将证书目的选择“禁用此证书的所有目的”即可。
在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。
我这个是把CNNIC加到了Untrusted下,没有删除……
可以将证书直接拖放到不信任的目录里的
谢谢,已经禁用CNNIC。
转载掉
我也不信任CNNIC,我现在用的是Chrome,暂时不用改。
我这个步骤是为了预防微软的下一个更新把CNNIC加入:)
我按照以上步骤作了后,ie直接就提示该页无法显示,但是我只想要一个警告页面,应该怎么做,我的微软似乎已经加入cnnic了