在Twitter上惊闻“微软把CNNIC列为根证书发布者”,赶紧Google一把,发现Mozilla同样也已经在3.6版的Firefox里这么做了。
出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。
因为IE/Chrome采用微软的CA目录,而微软现在暂未将CNNIC加入,因此需要先从Firefox中导出这几个证书,再添加到Windows的“不信任”列表(更新:现在可以直接从Windows里导入再导入了,操作类似),以防范于未然。下面便是具体的步骤了(包括IE/Chrome/Firefox):
1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步(其中CNNIC SSL非自带证书!):CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt
2、打开Firefox浏览器,工具(Tools)->选项(Options)->高级(Advanced)->加密(Encryption)->查看证书(View Certificates)
3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项,按导出(Export)(备份到本地),然后编辑(Edit),去除里面的三个勾选,然后单击确定(OK)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书,同样导出并去除勾选。(注:Entrust.net这个也是验证CNNIC所用的证书)
5、打开开始菜单->运行(或者直接按Win-R)
6、输入certmgr.msc,打开Windows的证书管理器。
7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项,在”所有任务(All Tasks)“子菜单下单击”导入(Import)…”
8、分别找到刚才保存的三个证书,依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
(感谢 Jimmy Xu 供图)
另附上网友补充的Safari/Opera设置方法:
Mac下Safari操作步骤(感谢推友 @xzzxyd 提供!):
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在Spotlight中搜索”Keychain Access“或”钥匙串访问“,打开后搜索CNNIC,在”信任”中标记为”永不信任“~。
VPN代理服务器:都没人提Opera的吗?Ctrl+F12 -安全性-管理证书-证书办法机构-CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!
——————1/29 6:30 PM更新——————
经验证,CNNIC SSL证书非Firefox 3.6自带,没有找到属正常情况;另外,上述步骤3/4有变化,已删除证书 CNNIC SSL 发现无效的朋友,可以将 CNNIC SSL 证书按照上述3/4步的步骤重新操作一次,而非删除,即可。
——————1/27 7:30 PM更新——————
不需要关闭自动更新,上述步骤多了第9步,请注意!
——————1/27 6:15 PM更新!!——————
0、在默认情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:
0a:对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove Programs)->添加/删除windows组件(Add/Remove Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”
(感谢推友@tOmMyanG供图!)
0b:对于Windows Vista/Windows 7用户:组策略(运行->gpedit.msc)->计算机配置(Computer Configuration)->管理模板(Administrative Templates)->系统(System)->Internet 通信管理(Internet Communication Management)->Internet 通信设置(Internet Communication settings),启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates Update)”
十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)
(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)
为什么不信任啊,你个傻B,你不整天上黄网会中毒吗?好像自己电脑技术很牛一样,拼真本事你就不会了,整天就知道在这时意淫,我叼你啊
1、对CNNIC的不信任不在于中毒
2、您有什么“真本事”呢?
3、请告诉我,我“意淫”了什么?
小学没读完就来回帖。
to www : 五毛你个傻逼
IE 6 你都还用 果然是 好纯哦 估计连黄片都不会下吧,好可怜啊 憋死了吧。。看来你有真本事哦 好好玩。我喜欢你这样的纯情男,这样的中国贱男才是正点,我喜欢你这样的天朝奴 玩SM 一定会很爽的 乖乖 COME ON BABY oh YES
什么素质,出口成脏,不骂人会死啊
你又算哪一号,他骂人还不因为顶楼先骂的,你是顶楼5毛的同学吗
围观武汉市出租车燃油附加费
Twitter观光团 @Hexchain
我们在牧师的聊天室聊过天的,我很喜欢你的模板,但是Google了一下居然没找到,能不能发给我一份,谢谢。
模板全名是:
Green Leaves 1.0 by BlogHug
🙂
谢谢,我找到了。还有一个问题,右边的广告图片怎么去掉啊。
建议有一个回复自动邮件通知的插件。
这个修改一下代码就好了……自动回复邮件通知我做了,偶尔可能会失灵
博主你好,我按您的方法把CNNIC相关各证书禁用以后,今天在FF主页上登陆火狐的商店https://intlstore.mozilla.org/发现也提示了“此链接是不受信任的”,请问这正常吗?是不是我设置的错误,还是火狐商店也用了此证书?
是的,这个网站采用了Entrust.netSecureServerCertificationAuthority.crt这个证书,您可以在Firefox里将信任的网址加入例外:)
关于ie8和chrome依旧可以访问的问题
可以这样:把三个证书直接导入不受信任的证书里头然后禁用就可以的。不过前提是原来导入进受信任的发布机构里的证书要删除,大家可以试一试。。。。
这样更新后又会失效的……不推荐哈~~
问题解决了 自己太粗心了 谢谢楼主
:)能否分享一下解决的经验呢?
做到第9步时,就不需要关闭根证书自动更新了,是吗?谢谢。
是这个意思:)第九步就是为了自动更新时不使上面的设置失效。
变态的浏览量,拜一下
让我不敢随意改主题了 T.T……虽然现在还很多bug……
cnnic那两个禁用就罢了
Entrust.netSecureServerCertificationAuthority.crt这个好多地方用到~~
我认为只要让它取消“标识软件制造者”就可以了,免除这些ACTIVE插件的静默安装就可以了,毕竟访问网站和邮箱对大部分用户是有必要的,CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt这两个的权限并不高
我这样做的初衷本来是为了免除针对google的https中间人攻击,所以对CNNIC这个不可靠部门可能存在自己签名自己虚假服务器的问题,而取消cnnic的所有证书。即使权限低也一样。
这位朋友太过激了,只要把CNNIC ROOT证书停用了就可以了,否则很多应用不能使用的,如163邮箱SSL登陆
不这样做的话,是治标不治本。你想你能访问CNNIC签名的163邮箱,自然也能不经警告地访问任何的CNNIC签名的网站,这样停用证书的目的就完全没有达到……
那个SSL和Entrust早就存在多年了,我认为网站和邮箱的验证很正常,关键是ActiveX 控件等软件,ROOT证书权限太高了所以一定要禁用
研究了好一会,还是看不明白,我是电脑盲,请问博主,这个CNNIC赖在我电脑里,要不要紧的?它有什么安全隐患没有?如果有的话,那我去请别人按照您的文章替我清除掉它,但是如果它没什么安全隐患,我就不搞了
这个问题的详细情况,请参考月光博客:[url=http://www.williamlong.info/archives/2058.html]http://www.williamlong.info/archives/2058.html[/url]
《破解Google Gmail的https新思路》
请问,我已安装最新的 Firefox 3.6 ,但是我按你的教程操作,我只找到了你在第1步里说的两个证书,却没有发现 CNNIC SSL 证书,那我在第8步里只倒入两个证书行不行?需不需要把你提供下载的 CNNIC SSL 证书也倒进去?谢谢
最好下载导入,这样比较完整:)我第一步里有说明CNNIC SSL证书不是自带的……
如何 单独信任163邮箱的证书?
学习了, 比 Mac 上的操作复杂好多啊.
比较菜,没有太看明白你的文章。请问一下,我是 xp xp3 简体中文版,IE6 ,我右击桌面的Internet Explorer图标—>属性—>内容—>证书—>受信任的根证书颁发机构,其中并没有CNNIC ,那我是不是什么都不用做?谢谢!! (PS:我通过windows update装过很多补丁,但是那个可选的根证书更新,我从来没有装过)
不是,您浏览网站时也会自动根据证书的信任链安装上那个证书并且把它标记成可信的……最好是现在导入然后标记为不可信,这样更加可靠:)
不错的文章,很讨厌CNNIC,坚决清除之!
修改之后,163邮箱无法登陆。。。。
是这样的,您可以单独信任一下163的证书:)
呵呵,改用google浏览器.
Google浏览器用的也是操作系统的证书设置= =
看来到中国大陆旅行先要删除Add/Remove Programs程序?
本人在海外,看了一篇”抵制CNNIC根证书行动”网文,立即在本电脑查找CNNIC根证书,很幸运没找到CNNIC根证书,(注:本电脑Windows Update的所有补丁都打齐的).看来微软内外有别,双重标准?
微软的可选补丁您也打全了吗?
光这样不行,关掉IE后再打开又有了,得关掉微软根证书的更新(在程序追加里)
新增加的第九步就是为了免除关闭更新:)
有啊,我刚试了一下,能登录,0.0!
我操作后输入https://www.enum.cn/ 就是这样子,刷新后就是第二张图。算了,以后再搞了。谢谢。
我不知所云 ( ̄_ ̄|||)
hoho,,,,用mac可以不知所云-_-“
在天朝用Mac还是不能不知所云的,哈哈
在British用mac大可不知所云 ( ̄_ ̄|||)
麻烦你登录一下看看,用户名:lsq365168@tom.com密码:kkddgcd444
用户名不存在= =……
我重新注册了个相册,你看看能不能看到,谢谢。
http://wt.wodexiangce.cn/pages/photo/open.faces
加我好友行吗?
额,我基本不上Q的……囧……
Q根本就是木马.
我传图到QQ相册,麻烦你看下,谢谢
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
晕一个,看不了非好友的QQ空间……
汗,怎么上图啊?谢谢
这里支持BBCode,您可以到mobypicture,img.ly之类的网站上传图片后获得外链地址,然后发上来:)
你好,显示的是
此程序无法显示网页
最可能的原因是:
未连接到 Internet。
该网站遇到了问题。
在地址中可能存在键入错误。
您可以尝试以下操作:
检查您的 Internet 连接。尝试访问其他网站以确保已连接到 Internet。
重新键入地址。
返回到上一页。
能上一下截图吗?要包括地址栏和状态栏的,谢谢:)