首页 > Uncategorized > [转载]从“受信任的根证书”里赶走CNNIC

[转载]从“受信任的根证书”里赶走CNNIC

2010年01月27日
Posted by Felix Yan in Uncategorized on 27-01-2010

Twitter上惊闻“微软把CNNIC列为根证书发布者”,赶紧Google一把,发现 Mozilla同样也已经在3.6版的Firefox里这么做了。

出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。

因为IE/Chrome采用微软的CA目录,而微软现在暂未将CNNIC加入,因此需要先从Firefox中导出这几个证书,再添加到Windows的“不信任”列表(更新:现在可以直接从Windows里导入再导入了,操作类似),以防范于未然。下面便是具体的步骤了(包括IE/Chrome/Firefox):

1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步:CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2、打开Firefox浏览器,工具(Tools)->选项(Options)->高级(Advanced)->加密 (Encryption)->查看证书(View Certificates)

3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项,按导出(Export)(备份到本地),然后删除 (Delete)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)

4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书,同样导出并删除。(注:Entrust.net这个也是验证CNNIC所用的证书)



5、打开开始菜单->运行(或者直接按Win-R)

6、输入certmgr.msc,打开Windows 的证书管理器。

7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项,在”所有任务(All Tasks)“子菜单下单击”导入(Import)…“

8、分别找到刚才保存的三个证书,依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“Disable all purposes for this certificate”。

想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!

——————7:30 PM更新——————

不需要关闭自动更新,上述步骤多了第9步,请注意!

——————6:15 PM更新!!——————

0、在默认情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:

0a:对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove Programs)->添加/删除windows组件(Add/Remove Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”

(感谢推友@tOmMyanG供图!)

0b:对于Windows Vista/Windows 7用户:组策略(运行->gpedit.msc)->计算机配置(Computer Configuration)->管理模板(Administrative Templates)->系统(System)->Internet 通信管理(Internet Communication Management)->Internet 通信设置(Internet Communication settings),启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates Update)”

十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)

(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)

参考资料:http://www.networkworld.com/community/node/17703

 

=================================================

补充几点:

1. 关于CNNIC这个根证书的危害,简单地说起来就是它使得土共有了给网站颁发“合法”SSL证书的权限,从而可以用伪造的证书欺骗浏览器,让用户在浏览https加密页面时不会收到任何浏览器警告,但这时所有传输内容在土共的中间人攻击之下已经与明文无异。

2. 我在Firefox 3.6里只找到CNNIC Root和Entrust Security xxx两个证书,没找到的应该不用管,删除即可。文中第一条给出的三个证书的下载地址已经失效,我暂时也没找到其它下载地址,不管了。

3. 如果经常更新微软操作系统,运行certmgr.msc后,“受信任的根证书颁发机构”中也许能直接找到其中的一两个证书。直接右键-属性-停用这个证书的所有目的-确定。我个人认为这样就可以了,不需要再往其它地方复制证书;如果手工导入,则还是按照文章的说法。

4. 最后一定要测试那个网址,确认有没有效果。

分类:Uncategorized
  1. Kyd
    2010年01月28日 3:43 上午

    悲剧。。

  1. No trackbacks yet.
评论已关闭。
%d 博主赞过: