CNNIC 已经获得了 CA 权限,我们现在上网很危险。
国内第一个由权威官方机构做的流氓软件就是 CNNIC 开发和散播的(谁会忘记当年“CNNIC 中文上网”和“3721”是如何让现在的天朝网络变得很黄很暴力的)。CA又是啥?CA 是一个负责签发和管理证书的机构,简单来说,有了 CA 权限,就能给任何网站(包括他们自己的网站)颁发证书,这种证书会被浏览器信任,从而让浏览器认为你所访问的网站(通常是通过 https 访问的网站)是安全可信的。
但是如果像 CNNIC 这样的机构都能称作是可信的,那我们还要装防火墙和杀毒软件干嘛?这样的机构颁发的证书,无疑对我们上网的安全是一种极大的威胁。如果某天他们给某个流氓网站(包括他们自己的网站)颁发个证书,或者某天他们和某个神秘机构合作,用颁发一个用于假冒其他可信网站的证书(比如假冒 Google 的证书),并利用劫持技术(该技术目前某神秘机构已经运用的炉火纯青)干扰我们对其他其他可信网站(比如 Google 或其他在线支付网关)的访问,我们的浏览器因为信任其作为一个CA所颁发的证书,所以没有任何提示,而我们也会毫不知情。更多详情请自行搜索关键字:“SSL劫持”。在此我不多说,只是分享一个可以让浏览器不要去信任流氓的方法。
这个方法分两个部分,一个是用于 Firefox 的,一个是用于 IE 的。因为我的系统是英文的,所以抓图里面都是英文,大家根据图片里的红框提示,就算不太熟悉英文,应该也可以对号入座的。下面看图说话。
Firefox 的设置方法
先访问一下下面的两个网站,目的是让浏览器自动下载受信任的流氓证书。
https://tns-fsverify.cnnic.cn/
https://www.entrust.net
然后参照下图点击 工具->选项 菜单
在下图的选项界面中,点击 高级 (1号位置),然后点击加密选项卡里面的 查看证书 按钮(2号位置)
接着在下图的 证书机构 选项卡中,找到三个地方,分别是 CNNIC ROOT, CNNIC SSL 和 Entrust.net Secure Server Certificatino Authority。你需要分别选中每一个并按 编辑 按钮(4号位置,每次只能编辑一个,所以要分三次进行编辑)。
更新:发现对 Entrust 的设置会导致广发银行网银登录提示不受信任(广发也用 Entrust 颁发的证书),所以如果你受到影响,只能不对 Entrust 进行设置(只对 CNNIC 的进行设置)。也只能把希望寄托于什么时候 Entrust 会听到广大网民的呼声,取消对 CNNIC 的信任。
点了上图的 编辑 按钮之后,会弹出下图的设置界面,确保三个选项都 没有被选中。注意,如果加上 Entrust 的证书,共有三个证书需要进行这样的设置。
全部设置完之后,关闭所有 Firefox 的窗口,重新打开 Firefox,你就可以放心大胆的浏览网页了。要验证有没有效果,重新打开第一个步骤提到的两个网页,如果浏览器提示你网站不被信任,说明浏览器已经不再信任 CNNIC 的证书了。之所以 Entrust 的其中一个也要设置,是因为 Entrust 信任 CNNIC,但是可惜,我们不信任。对 Entrust 进行设置有可能影响其他网站流量,请看前面的更新信息。
IE 的设置方法,比 Firefox 稍微复杂了点
同样第一步,要先访问下面两个网址以确保浏览器已经下载了流氓证书:
https://tns-fsverify.cnnic.cn/
https://www.entrust.net
然后点击下图所示 工具->选项 菜单
点击下图所示 内容 选项卡,再点击 证书 按钮
在打开的证书设置界面,选中 受信任的根证书发布机构 选项卡,然后同时选中 CNNIC ROOT 和 Entrust.net Secure Server Certification Authority 两个项目(选中一个之后,按住 Ctrl 键不放再选中第二个,就可以让两个同时保持选中状态)
更新:发现对 Entrust 的设置会导致广发银行网银登录提示不受信任(广发也用 Entrust 颁发的证书),所以如果你受到影响,只能不对 Entrust 的证书进行导出(只导出 CNNIC 的证书)。也只能把希望寄托于什么时候 Entrust 会听到广大网民的呼声,取消对 CNNIC 的信任。
在导出向导中,会询问要导出的文件格式,选择 SST 格式(任何一项均可,选中该项之是为了方便)。
接着会询问你文件保存的位置,点击 浏览 按钮
为了方便操作,将文件保存在 桌面 并命名为 aa.sst。
接下来,需要手工运行一个命令,按快捷键 Win + R 或者点击开始菜单中的 运行 命令,会见到下图所示界面,输入 certmgr.msc 后就能启动证书管理器。
在证书管理器中,展开 不受信任的证书,再用 鼠标右键 选中其下的 证书 项目,在弹出的右键菜单中选中 所有任务->导入
在下图的打开文件界面中,确保 文件类型 处选中 SST 文件(1号位置,文件类型和导出时选择的类型相对应),然后浏览到桌面把刚才保存的 aa.sst 文件选中并打开。
接着在导入向导的下一步,可以看到向导默认选中了图中所示选项,提示所有证书将被放在不受信任证书里,确认一下该选项,如果该选项提示将要保存的位置不是不受信任证书,可以点击旁边的浏览按钮进行选择。
接下来一直下一步,直到导入完成之后,你就可以看到不受信任证书里,有了 CNNIC ROOT 和 Entrust.net Secure Server Certification Authority 这两项。分别用鼠标右键选中这两项,并在弹出的右键菜单选择 属性 对其进行设置。
更新:若你前面没有导出 Entrust 的证书,这里将不会出现 Entrust 的项目,也不需要对 Entrust 的项目进行设置。
在设置界面中,选中 禁止此证书所有项目(下图2号位置)。若有导出 Entrust 的证书,则要对 Entrust 的证书进行相同设置。
设置完之后,关闭所有 IE 窗口然后重新打开 IE,你就可以重新访问第一步提到的两个网页验证一下,如果浏览器提示网站是不受信任的网站,说明设置生效了。和设置 Firefox 一样,设置了 Entrust 是因为 Entrust 信任 CNNIC,但是我们不信任。对 Entrust 进行设置有可能影响其他网站流量,请看前面的更新信息。
至此,流氓证书离我们而去,走好不送,可以放心浏览网页了!