简体 - 正體 - 手机版 - 电子报

人民报 
首页 要闻 内幕 时事 幽默 国际 奇闻 灾祸 万象 生活 文化 专题 寰宇 维权 视频 杂谈
 
 
 
 
 

CNNIC CA──最最最严重安全警告!
 
网文
 
【人民报消息】由 WCM 于 星期一, 2010-02-01 20:00 发表

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC--对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它--偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?

我对此有3个疑问:

1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

* 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部份的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部份人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧(结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

文章网址: http://www.renminbao.com/rmb/articles/2010/2/4/51882.html
打印机版

如果您喜欢本文章,欢迎捐款和支持!

 
              


分享至: Facebook Twitter Google+ LinkedIn StumbleUpon Pinterest Email 打印机版
 
 

 
 
相关文章
 
更多文章导读
 
 
 

1. 瑞典外长:谷歌中国风波凸现网络大战(视频) (63,708次)

2. 香港五区总辞起义 中共暴跳(视频) (63,411次)

3. 大灾难啊!三聚氰胺卷土重来(视频) (61,828次)

4. 春晚最不受欢迎演员 赵本山夺冠(视频) (61,024次)

5. 人大毕业生豪捐耶鲁 巨大冲击中共(视频) (59,202次)

6. 《赵紫阳还说过甚么》出书秘辛(视频) (55,739次)

薄熙来想干么!遭文强“潜规则”的女明星竟是男人(多图)
7. 薄熙来想干么!遭文强“潜规则”的女明星竟是男人(多图) (49,523次)

实拍!党妈妈在新华网卖淫(多图)
8. 实拍!党妈妈在新华网卖淫(多图) (49,509次)

江绵恒在胡面前从来没这样笑过(多图)
9. 江绵恒在胡面前从来没这样笑过(多图) (48,238次)

绝无仅有!薄熙来的新语录震惊世界(多图)
10. 绝无仅有!薄熙来的新语录震惊世界(多图) (47,482次)

11. 江的绝密被李长春抖落出来了 (46,156次)

老江衰到家!小胡把宋祖英恶心成这样(图)
12. 老江衰到家!小胡把宋祖英恶心成这样(图) (44,861次)

八成已遭不测!高智晟曾以“唱红”维持生命(图)
13. 八成已遭不测!高智晟曾以“唱红”维持生命(图) (41,699次)

震惊!折腾半天…文强没犯多大事儿(图)
14. 震惊!折腾半天…文强没犯多大事儿(图) (39,791次)

宋祖英居首!中共发布演艺名人道德修养榜(图)
15. 宋祖英居首!中共发布演艺名人道德修养榜(图) (39,641次)

新华网的图片新闻让人惊了两惊(多图)
16. 新华网的图片新闻让人惊了两惊(多图) (39,592次)

老江要是遇到这位日本新闻女主播…(多图)
17. 老江要是遇到这位日本新闻女主播…(多图) (39,566次)

机率为百亿分之一和万亿分之一的奇闻(图)
18. 机率为百亿分之一和万亿分之一的奇闻(图) (38,532次)

19. 周永康,你老婆喊你跟她一起回家(图) (37,264次)

20. 维基百科新词条:非法献花(多图) (37,011次)

谷歌一挺腰…中共高位截了瘫(图)
21. 谷歌一挺腰…中共高位截了瘫(图) (35,828次)

难以置信的图片!事发机率亿万分之一(图)
22. 难以置信的图片!事发机率亿万分之一(图) (35,747次)

这个图片新闻揭示背后有故事(图)
23. 这个图片新闻揭示背后有故事(图) (35,111次)

24. 面对国际镜头 中共卫生副部长不否认活摘器官(图) (34,192次)

新纪元:逮捕江泽民(多图)
25. 新纪元:逮捕江泽民(多图) (33,946次)

内幕惊人!龚如心家属还没到哭的时候(多图)
26. 内幕惊人!龚如心家属还没到哭的时候(多图) (33,892次)

小笑话:希望境外黑客经常来黑(图)
27. 小笑话:希望境外黑客经常来黑(图) (33,830次)

新华网头条!众党官摆的姿势曝出大新闻(多图)
28. 新华网头条!众党官摆的姿势曝出大新闻(多图) (33,820次)

中共在石家庄形势严重(图)
29. 中共在石家庄形势严重(图) (33,305次)

30. 港首曾荫权当起了中共间谍 (33,234次)

被认定影射政治局 韩寒杂志首期封面被毙(图)
31. 被认定影射政治局 韩寒杂志首期封面被毙(图) (32,999次)

十大奇异云彩:雨幡洞云似巨大水母(多图)
32. 十大奇异云彩:雨幡洞云似巨大水母(多图) (31,768次)

乌拉圭上空出现奇妙“滚轴云”景象(图)
33. 乌拉圭上空出现奇妙“滚轴云”景象(图) (30,826次)

“机遇号”发现奇特火星岩石(图)
34. “机遇号”发现奇特火星岩石(图) (30,549次)

小笑话:“我”怎么向谷歌妥协(图)
35. 小笑话:“我”怎么向谷歌妥协(图) (30,160次)

 
本报记者
 
 
专栏作者
首页 要闻 内幕 时事 幽默 国际 奇闻 灾祸 万象 生活 文化 专题 寰宇 维权 视频 杂谈
 
 
Copyright© renminbao.com. All Rights Reserved