在Twitter上惊闻“微软把CNNIC列为根证书发布者”,赶紧Google一把,发现Mozilla同样也已经在3.6版的Firefox里这么做了。
出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。
因为IE/Chrome采用微软的CA目录,而微软现在暂未将CNNIC加入,因此需要先从Firefox中导出这几个证书,再添加到Windows的“不信任”列表(更新:现在可以直接从Windows里导入再导入了,操作类似),以防范于未然。下面便是具体的步骤了(包括IE/Chrome/Firefox):
1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步(其中CNNIC SSL非自带证书!):CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt
2、打开Firefox浏览器,工具(Tools)->选项(Options)->高级(Advanced)->加密(Encryption)->查看证书(View Certificates)
3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项,按导出(Export)(备份到本地),然后编辑(Edit),去除里面的三个勾选,然后单击确定(OK)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书,同样导出并去除勾选。(注:Entrust.net这个也是验证CNNIC所用的证书)
5、打开开始菜单->运行(或者直接按Win-R)
6、输入certmgr.msc,打开Windows的证书管理器。
7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项,在”所有任务(All Tasks)“子菜单下单击”导入(Import)…”
8、分别找到刚才保存的三个证书,依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
(感谢 Jimmy Xu 供图)
另附上网友补充的Safari/Opera设置方法:
Mac下Safari操作步骤(感谢推友 @xzzxyd 提供!):
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在Spotlight中搜索”Keychain Access“或”钥匙串访问“,打开后搜索CNNIC,在”信任”中标记为”永不信任“~。
VPN代理服务器:都没人提Opera的吗?Ctrl+F12 -安全性-管理证书-证书办法机构-CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!
——————1/29 6:30 PM更新——————
经验证,CNNIC SSL证书非Firefox 3.6自带,没有找到属正常情况;另外,上述步骤3/4有变化,已删除证书 CNNIC SSL 发现无效的朋友,可以将 CNNIC SSL 证书按照上述3/4步的步骤重新操作一次,而非删除,即可。
——————1/27 7:30 PM更新——————
不需要关闭自动更新,上述步骤多了第9步,请注意!
——————1/27 6:15 PM更新!!——————
0、在默认情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:
0a:对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove Programs)->添加/删除windows组件(Add/Remove Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”
(感谢推友@tOmMyanG供图!)
0b:对于Windows Vista/Windows 7用户:组策略(运行->gpedit.msc)->计算机配置(Computer Configuration)->管理模板(Administrative Templates)->系统(System)->Internet 通信管理(Internet Communication Management)->Internet 通信设置(Internet Communication settings),启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates Update)”
十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)
(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)
如果是在mac os x的safari里是找不到这个设置的,在application—-utility—-钥匙串里,搜索cnnic,可以得到cnnic root证书,显示信息——永不信任即可。
多谢提供!
按照楼主的方法,IE8已经打不开那个测试网站了,但是ChromePlus既然可以打开….
怎么回事?
这个还真不清楚……望网友解答哈
感谢,已经删除2个,另外的那个CNNIC SSL没有这项…
进那站,我的IE8没出现那个警告..
补充: IE8打不开那个加https的链接, 只是警告,应该没事了
CNNIC SSL可以从本文的链接中下载然后禁用:)
赶紧这么做,不能信流氓
感觉这么做,不能信流氓
opera里面没有介绍。比较简单,直接可以看到cnnic,然后去掉允许连接的勾勾就好了
我删了。不信任cnnic
网易邮箱reg.163.com因为证书发行者CNNIC SSL不受信任而无法登陆。
这个可以“特批”一下:)
怎么特批呢?谢谢。
是临时允许,还是近允许163.com?
ps,firefox更新到新版本后应该不会自动更新证书吧?
可以把自己信任的特批= =……至于临时还是永久,这个看你的信任程度了:)
既然CNNIC都不信任了,163也可以考虑换一下了。163的信任也是有限的
学习了.
删除FF3.6的证书重启之后怎么又回来了?大家都一样么?
是这样的,不过您测试访问那个测试地址,提示阻止就可以了:)
都没人提Opera的吗?
Ctrl+F12 -安全性-管理证书
证书办法机构-CNNIC ROOT
双击
把 允许连接到使用该证书链接的网站 去掉
应该是这样操作,^_^
应该是这样,谢谢:)
我已经提交Mozilla了,要求去掉这个证书,详细参见:
https://bugzilla.mozilla.org/show_bug.cgi?id=542689
多谢,希望能有一个满意的结果:)
我用的是Ubuntu下的firefox 3.5.8pre,看了一边证书,发现没有找到CNNIC ROOT,是不是只有3.6才添加了那个证书呢?
是的,您可以加进去标为不信任:)
我想知道你在回复人后面显示的包括国家浏览器以及操作系统的插件是什么?网上找了下,有个叫Comment Info Detector的似乎可以实现,但是插件已经有将近5个月没有更新了。
我使用的正是这个插件:)我觉得插件很久没更新是没关系的,只要证明了和您使用的WP版本之间兼容就可以:)
我想問ubuntu下Firefox3.5.7要不要如此這般一番?
我的FF3.5.7里没有CNNIC的证书,但是打开上边提供的那个网页却发现可以访问,然后运行命令关闭的。
晕。。你用的Ubuntu啊,我还准备说让你看看IE呐。哈哈哈哈
“Disable all purposes for this certificate”->停用这个证书的所有目的。
那个图可以拿来用~
多谢,已更新:)
ubuntu9.10+chromium如何设置?
谢谢哦,学会啦
已经删除证书。
For Windows vista/7: 运行->gpedit.msc->计算机配置->管理模板->系统->Internet通信管理->Internet通信设置->(“启动”)关闭自动根证书更新
多谢^_^
我也要赶走cnnic
谢谢Felix Yan,我已经把CNNIC赶走了!
BTW,可以显示评论国籍、浏览器、操作系统图标的插件是什么呢?
插件名是“Comment Info Detector” :)
已经安装到我的博客了,THX!
根证书发布者是什么意思啊,对用户有什么具体影响,博主能解释下吗
根证书的概念,可以参考百度百科:http://baike.baidu.com/view/554880.htm
我发现其实只要把Firefox里的相关证书 edit一下 取消3个勾就可以了。不需要删除也可以达到目的。
这两种操作是相同的结果:)
已经有了怎么删掉?
windows 7下的IE8里自带了cnnic的证书,不过导出后直接导入到不信任证书里就可以了。
最新的更新后,确实会直接就有:)
我是小P孩~!不知道CNNIC是啥~!
http://www.cnnic.net.cn/index.htm
我在我的FIREFOX中文版里没有找到CNNIC的相关证书….
无法继续操作了…
可以下载我上面提供的三个证书,然后导入到“不信任”列表:)
这东西有啥用?
Twitter观光团
不信任CNNIC
-_-;无视, Safari 党飘过。
我在Safari上没找到证书设置=。=
哪个OS、浏览器都要用证书的
网络基本安全机制,不是无视可以的