是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。

钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果

Twitter 上有同学分享了 CNNIC ,我不信任你!——从“受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站瞬间由于流量过大而宕机。 而我手快删除了 Firefox 的证书,结果没办法让 IE 也不信任它。

提供证书下载:https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 感谢 @flying19880517 和 @terryxxy 提供证书给我。注意此证书是用来不信任的,不是用来安装的。

由于 Firefox 可以很容易的删除证书使其变为不受信,但 IE 证书就需要使用 Windows 的证书管理器来添加,所以还是需要下载后导入使其不受信任。另外苹果用户参考 苹果下的FIREFOX如何删除CNNIC的根证书,需翻墙。
从 GR 里搜索到了该文章,转载如下:


Twitter 上惊闻“ 微软把 CNNIC 列为根证书发布者 ”,赶紧 Google 一把,发现 Mozilla 同样也已经在 3.6 版 的 Firefox 里这么做了。

出于对 CNNIC 深深的不信任,我决定将 CNNIC ROOT 从“受信任”的列表里赶出去。

因为 IE/Chrome 采用微软的 CA 目录,而微软现在暂未将 CNNIC 加入,因此需要先从 Firefox 中导出这几个证书。再添加到 Windows 的“不信任”列表,以 防范于未然 。下面便是具体的步骤了(包括 IE/Chrome/Firefox ):

1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)

3 、在 证书机构 (Authorites) 标签页中找到” CNNIC “组的” CNNIC ROOT “项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( RT JimmyXu: 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)

4 、在” Entrust.net “组中找到” Entrust.net Secure Server Certification Authority “ ( 序列号 37:4A:D2:43 的 ) 和” CNNIC SSL “证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)

 5 、打开开始菜单 -> 运行(或者直接按 Win-R )

6 、输入 certmgr.msc ,打开 Windows 的证书管理器。

7 、展开” 不受信任的证书 (Untrusted Certificates) “,右键单击其下” 证书 (Certificates) “项,在” 所有任务 (All Tasks) “子菜单下单击” 导入 (Import) … “

8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

想检验操作是否成功?在浏览器里访问  https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!

十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)

(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)

  1. bolo
    1月 27, 2010

    Twitter围观,今天看过很多次了,个人觉得没这个必要

    回复
  2. xiao3
    1月 27, 2010

    沙发~

    回复
  3. Jimmy Xu
    1月 27, 2010

    最后更新的一点没加上……

    回复
  4. 陈佳
    1月 27, 2010

    我用的是Chrome,暂时不用改。

    回复
  5. Hugo.Leen’s 生活流水账
    1月 27, 2010

    如何阻止不信任的 CNNIC 证书【转自scavin weblog】…

    是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。 钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果。 Twitter 上有同学分享了 CNNIC ,我不信任你!—-从”受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站…

    回复
  6. @andyoniphone
    1月 27, 2010

    OSX下的Safari里要从系统的钥匙串中修改:
    1.打开应用程序->实用工具->钥匙串访问;
    2.在钥匙串访问窗口右上角的搜索框里输入cnnic;
    3.别急着删,删了没用,得把它设置为不信任才行;
    4.在“CNNIC ROOT”上点右键,选“显示简介”;
    5.按“信任”边上的小三角,第一个“使用此证书时”选“永不信任”;
    6.要输入管理员密码验证一次。
    7.Done.
    8.再到https://www.enum.cn/就会告诉你无法验证了。

    回复
  7. 矛盾的结合体
    1月 27, 2010

    “结果该网站瞬间由于流量过大而宕机。”貌似是被墙了,我翻墙可以看。

    回复
  8. Mac 下将 CNNIC 根证书设为不信任 « Leaf Duo
    1月 27, 2010

    […] 的同学来这里看吧(感谢原作者)。 Tags:CA,CNNIC Related […]

    回复
  9. 如何阻止不信任的 CNNIC 证书 https://blog.lzzxt.com/… « 划拉
    1月 27, 2010
  10. mencius
    1月 27, 2010

    我有个疑问,
    在certmgr.msc中,察看CNNIC这个证书,选“属性”,禁用之。
    可以达到同样的目的吗?

    回复
    • freedom
      3月 24, 2012

      测试无效

  11. hanmiao
    1月 28, 2010

    我昨天看到过那篇文章,介绍如何将其加入不信任列表,今天又看到你的文章介绍这件事,虽然不是很明白为什么要这样做,但我还是照着做了。现在已经试验成功。PS:你的博客使用的评论字体在Firefox3.0下太小了,看不太清楚。

    回复
  12. Black-Xstar
    1月 29, 2010

    你居然更新blog了……

    回复
  13. 善逛网
    1月 29, 2010

    寒~~~~~~~~~~~~~~~~

    回复
  14. Dianso
    1月 29, 2010

    哈哈,上google首页了,我就来了。

    回复
  15. Dianso
    1月 29, 2010

    哈哈,上google第一页了。

    回复
  16. Awesom-o
    1月 30, 2010

    我用的是windows下的Safari,该怎么办?

    回复
  17. Jane
    1月 31, 2010

    按照你的方法做了。Firefox已经提示证书被拒绝,但Chrome没有任何提示。这个有问题吗?

    另外,我想在我的博客上全文转载你的这篇文章可以吗?我会提供原文链接和原作者名。

    回复
    • scavin
      1月 31, 2010

      Chrome 需要设置 IE 的证书

    • freedom
      3月 24, 2012

      certmgr.msc 里面设置

  18. ww
    1月 31, 2010

    呵呵,改用google浏览器吧.

    回复
  19. @vincent_wong
    1月 31, 2010

    Twitter围观。THX

    回复
  20. kevin
    2月 01, 2010

    我访问一篇内容同样的blog被重置了!http://felixcat.net/2010/01/throw-out-cnnic/。难道“删cnnic的证书”已经被GFW了?

    回复
  21. 阿猫
    2月 02, 2010

    发现一个问题:如果将firefox工具-选项-高级-加密中的“使用SSL3.0”选项勾上则上述办法不起作用。需要将此对勾去掉才会出现不信任的警告,否则还是信任的。

    这个选项好像安装时默认就是去掉的,但是有时候会因为特殊情况而勾上。

    回复
  22. guanlen
    2月 02, 2010

    我用上面说的进行设置,FF可以成功的阻止,可是用Cr照常可以打开,这是怎么回事?

    回复
  23. woolgatherbox
    2月 04, 2010

    您好 我操作了 和以上几位一样 firefox 针对哪个验证网站有提示:不信任 是否需要例外等 ;ie浏览器 打不开 https://www.enum.cn/ 这个网页 ;不知道是否算成功了 另外,chrome没什么反应 ,这个网页可以查看 不知道chrome怎么设置
    还是说 不需要设置

    谢谢您的文章
    我觉得这样的事情 应该注明出处 多多转发
    让大家有隐私保密 不被侵犯的这种意识

    回复
  24. woolgatherbox
    2月 04, 2010

    我已经注明出处转发到我自己的博客 也是方便日后做相应操作 以及提醒他人 谢谢

    回复
  25. qybaby's Blog Life ……» Blog 存档 » 为了这个不信任的CNNIC,别了126 WEBMail。
    2月 05, 2010

    […] 转载地址:https://blog.lzzxt.com/394 […]

    回复
  26. zeorx
    2月 17, 2010

    有个P危险。CNNIC添加为不信任导致很多网站无法访问,连163都不行。
    平时诸位上网有那么多“危险”吗???顶多支付宝里几块钱,还能被人给骗走?
    怕危险就别上网。唉,真是因噎废食。

    回复
    • freedom
      3月 24, 2012

      对于那种智商只适合上人民网、新华网的人来说,P危险也没有

  27. xmokay
    4月 17, 2010

    在使用不同的电脑,或者公用电脑的时候操作太麻烦了。可否搞一个批处理,来处理这些事情?

    回复
  28. 寸土必争!把CNNIC的假证书扫地出门| Librehat – A Geek Blog
    4月 06, 2011

    […] 可以参考这篇文章:https://blog.lzzxt.com/394 […]

    回复
  29. mafialong
    5月 05, 2011

    To:zeorx
    163都不行?你哪只眼睛看到163不行?
    删了后访问163完全无压力

    回复
    • freedom
      3月 24, 2012

      别动怒,163的证书是CNNIC颁发的,而163有很多种访问方式,急速模式是不加密的,所以可以访问;勾选SSL方式,会因为证书禁用无法登陆

  30. 古镇灯饰
    3月 18, 2016

    用 Chrome 需要折腾吗?

    回复
    • scavin
      3月 22, 2016

      不需要,系统的折腾了就好