🎁 迎长周末,VIP通行证6个月限时优惠$50 off 🎁 点击查看详情
查看: 2598|回复: 17
收起左侧

CNNIC CA:最最最严重安全警告!

|只看干货
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   95% (57)
 
 
5% (3)    👎

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看附件。没有帐号?注册账号

x
CNNIC CA:最最最严重安全警告!





由 WCM 于 星期一, 2010-02-01 20:00 发表
                        Posted in
  • CA
  • CNNIC
  • Entrust
  • Firefox
  • GFW
  • GMail
  • MITM
  • Mozilla
  • SSL
  • Vote
                                                
各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。
                           
                            背景知识                            网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。
                            如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。
                           
                            发生了什么事                            最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!
                           
                            意味着什么                            意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!
                            这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
                            你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:
                           
  • 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
  • CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
  • 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?
                           
                            影响范围                            基本上所有浏览器的所有用户均受影响!
                           
                            行动第一步:立即安全防御                            在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。
                           
  • 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
  • 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
  • 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
  • 还没有完,狡兔有三窟。
  • 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
  • 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server CertificationAuthority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
  • 最后,让我们验证一下。重启 Firefox,打开 这个这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!
                           
                            行动第二步:治标还需治本                            几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?
                            所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。
                            首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。
                            其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给Entrust 造成很大压力。
                            除此之外,来投个票吧结果统计)!
                            最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!
                                                            各位:
DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

上一篇:米国的安全问题[UIUC]
下一篇:学校周围的安全问题
zach 2010-2-2 02:23:06 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2384)
 
 
8% (234)    👎
顶一下。已经把这几个证书都加入不信任了,IE、Chrome、FF都不信任它了,嗯嗯……
我可不想让我的gmail被ooxx……
回复

使用道具 举报

Xeen 2010-2-2 02:34:09 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (5)
 
 
0% (0)    👎
居然把Bug 476766的Comments看完了..
回复

使用道具 举报

zach 2010-2-2 02:50:29 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2384)
 
 
8% (234)    👎
居然把Bug 476766的Comments看完了..
Xeen 发表于 2010-2-2 02:34

本来想翻墙去看Google Group的讨论,忍住了……怕自己看完再开始FQ……那样不好
回复

使用道具 举报

weiwlw 2010-2-2 09:21:50 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   98% (62)
 
 
1% (1)    👎
恩,头痛
回复

使用道具 举报

kanedetiber 2010-2-2 09:22:31 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   98% (558)
 
 
1% (10)    👎
4# zach

真是不能忍了。

拿着纳税人的钱,整天就想着搞这些鸡鸣狗盗的东西来监视纳税人?

FQ了。
回复

使用道具 举报

duanmupeiyi 2010-2-2 10:22:35 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   99% (2111)
 
 
0% (14)    👎
多谢分享!
回复

使用道具 举报

zach 2010-2-2 14:44:23 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2384)
 
 
8% (234)    👎
4# zach

真是不能忍了。

拿着纳税人的钱,整天就想着搞这些鸡鸣狗盗的东西来监视纳税人?

FQ了。
kanedetiber 发表于 2010-2-2 09:22

天朝那叫上税人,不叫纳税人。只尽义务,没有权利。哦,有被权力
回复

使用道具 举报

Geeceelol 2010-2-2 18:24:35 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (9)
 
 
0% (0)    👎
真恶心~啊~我居然还是这个黑手党的人,啊~~~老子不干了!
回复

使用道具 举报

Geeceelol 2010-2-2 18:37:23 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (9)
 
 
0% (0)    👎
Bug 476766的评论确实挺精彩。。。33楼是亮点。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号
隐私提醒:
  • ☑ 禁止发布广告,拉群,贴个人联系方式:找人请去🔗同学同事飞友,拉群请去🔗拉群结伴,广告请去🔗跳蚤市场,和 🔗租房广告|找室友
  • ☑ 论坛内容在发帖 30 分钟内可以编辑,过后则不能删帖。为防止被骚扰甚至人肉,不要公开留微信等联系方式,如有需求请以论坛私信方式发送。
  • ☑ 干货版块可免费使用 🔗超级匿名:面经(美国面经、中国面经、数科面经、PM面经),抖包袱(美国、中国)和录取汇报、定位选校版
  • ☑ 查阅全站 🔗各种匿名方法

本版积分规则

>
快速回复 返回顶部 返回列表