如何阻止不信任的 CNNIC 证书
是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。
钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果。
Twitter 上有同学分享了 CNNIC ,我不信任你!——从“受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站瞬间由于流量过大而宕机。 而我手快删除了 Firefox 的证书,结果没办法让 IE 也不信任它。
提供证书下载:https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 感谢 @flying19880517 和 @terryxxy 提供证书给我。注意此证书是用来不信任的,不是用来安装的。
由于 Firefox 可以很容易的删除证书使其变为不受信,但 IE 证书就需要使用 Windows 的证书管理器来添加,所以还是需要下载后导入使其不受信任。另外苹果用户参考 苹果下的FIREFOX如何删除CNNIC的根证书,需翻墙。
从 GR 里搜索到了该文章,转载如下:
在 Twitter 上惊闻“ 微软把 CNNIC 列为根证书发布者 ”,赶紧 Google 一把,发现 Mozilla 同样也已经在 3.6 版 的 Firefox 里这么做了。
出于对 CNNIC 深深的不信任,我决定将 CNNIC ROOT 从“受信任”的列表里赶出去。
因为 IE/Chrome 采用微软的 CA 目录,而微软现在暂未将 CNNIC 加入,因此需要先从 Firefox 中导出这几个证书。再添加到 Windows 的“不信任”列表,以 防范于未然 。下面便是具体的步骤了(包括 IE/Chrome/Firefox ):
1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt
2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)
3 、在 证书机构 (Authorites) 标签页中找到” CNNIC “组的” CNNIC ROOT “项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( RT JimmyXu: 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)
4 、在” Entrust.net “组中找到” Entrust.net Secure Server Certification Authority “ ( 序列号 37:4A:D2:43 的 ) 和” CNNIC SSL “证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)
5 、打开开始菜单 -> 运行(或者直接按 Win-R )
6 、输入 certmgr.msc ,打开 Windows 的证书管理器。
7 、展开” 不受信任的证书 (Untrusted Certificates) “,右键单击其下” 证书 (Certificates) “项,在” 所有任务 (All Tasks) “子菜单下单击” 导入 (Import) … “
8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!
十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)
(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)
Twitter围观,今天看过很多次了,个人觉得没这个必要
沙发~
最后更新的一点没加上……
我用的是Chrome,暂时不用改。
如何阻止不信任的 CNNIC 证书【转自scavin weblog】…
是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。 钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果。 Twitter 上有同学分享了 CNNIC ,我不信任你!—-从”受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站…
OSX下的Safari里要从系统的钥匙串中修改:
1.打开应用程序->实用工具->钥匙串访问;
2.在钥匙串访问窗口右上角的搜索框里输入cnnic;
3.别急着删,删了没用,得把它设置为不信任才行;
4.在“CNNIC ROOT”上点右键,选“显示简介”;
5.按“信任”边上的小三角,第一个“使用此证书时”选“永不信任”;
6.要输入管理员密码验证一次。
7.Done.
8.再到https://www.enum.cn/就会告诉你无法验证了。
“结果该网站瞬间由于流量过大而宕机。”貌似是被墙了,我翻墙可以看。
[…] 的同学来这里看吧(感谢原作者)。 Tags:CA,CNNIC Related […]
[…] http://blog.lzzxt.com/394 […]
我有个疑问,
在certmgr.msc中,察看CNNIC这个证书,选“属性”,禁用之。
可以达到同样的目的吗?
测试无效
我昨天看到过那篇文章,介绍如何将其加入不信任列表,今天又看到你的文章介绍这件事,虽然不是很明白为什么要这样做,但我还是照着做了。现在已经试验成功。PS:你的博客使用的评论字体在Firefox3.0下太小了,看不太清楚。
你居然更新blog了……
寒~~~~~~~~~~~~~~~~
哈哈,上google首页了,我就来了。
哈哈,上google第一页了。
我用的是windows下的Safari,该怎么办?
按照你的方法做了。Firefox已经提示证书被拒绝,但Chrome没有任何提示。这个有问题吗?
另外,我想在我的博客上全文转载你的这篇文章可以吗?我会提供原文链接和原作者名。
Chrome 需要设置 IE 的证书
certmgr.msc 里面设置
呵呵,改用google浏览器吧.
Twitter围观。THX
我访问一篇内容同样的blog被重置了!http://felixcat.net/2010/01/throw-out-cnnic/。难道“删cnnic的证书”已经被GFW了?
发现一个问题:如果将firefox工具-选项-高级-加密中的“使用SSL3.0”选项勾上则上述办法不起作用。需要将此对勾去掉才会出现不信任的警告,否则还是信任的。
这个选项好像安装时默认就是去掉的,但是有时候会因为特殊情况而勾上。
我用上面说的进行设置,FF可以成功的阻止,可是用Cr照常可以打开,这是怎么回事?
您好 我操作了 和以上几位一样 firefox 针对哪个验证网站有提示:不信任 是否需要例外等 ;ie浏览器 打不开 https://www.enum.cn/ 这个网页 ;不知道是否算成功了 另外,chrome没什么反应 ,这个网页可以查看 不知道chrome怎么设置
还是说 不需要设置
谢谢您的文章
我觉得这样的事情 应该注明出处 多多转发
让大家有隐私保密 不被侵犯的这种意识
我已经注明出处转发到我自己的博客 也是方便日后做相应操作 以及提醒他人 谢谢
[…] 转载地址:http://blog.lzzxt.com/394 […]
有个P危险。CNNIC添加为不信任导致很多网站无法访问,连163都不行。
平时诸位上网有那么多“危险”吗???顶多支付宝里几块钱,还能被人给骗走?
怕危险就别上网。唉,真是因噎废食。
对于那种智商只适合上人民网、新华网的人来说,P危险也没有
在使用不同的电脑,或者公用电脑的时候操作太麻烦了。可否搞一个批处理,来处理这些事情?
[…] 可以参考这篇文章:http://blog.lzzxt.com/394 […]
To:zeorx
163都不行?你哪只眼睛看到163不行?
删了后访问163完全无压力
别动怒,163的证书是CNNIC颁发的,而163有很多种访问方式,急速模式是不加密的,所以可以访问;勾选SSL方式,会因为证书禁用无法登陆
用 Chrome 需要折腾吗?
不需要,系统的折腾了就好