如何阻止不信任的 CNNIC 证书

是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。

钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果

Twitter 上有同学分享了 CNNIC ,我不信任你!——从“受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站瞬间由于流量过大而宕机。 而我手快删除了 Firefox 的证书,结果没办法让 IE 也不信任它。

提供证书下载:https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 感谢 @flying19880517 和 @terryxxy 提供证书给我。注意此证书是用来不信任的,不是用来安装的。

由于 Firefox 可以很容易的删除证书使其变为不受信,但 IE 证书就需要使用 Windows 的证书管理器来添加,所以还是需要下载后导入使其不受信任。另外苹果用户参考 苹果下的FIREFOX如何删除CNNIC的根证书,需翻墙。
从 GR 里搜索到了该文章,转载如下:


Twitter 上惊闻“ 微软把 CNNIC 列为根证书发布者 ”,赶紧 Google 一把,发现 Mozilla 同样也已经在 3.6 版 的 Firefox 里这么做了。

出于对 CNNIC 深深的不信任,我决定将 CNNIC ROOT 从“受信任”的列表里赶出去。

因为 IE/Chrome 采用微软的 CA 目录,而微软现在暂未将 CNNIC 加入,因此需要先从 Firefox 中导出这几个证书。再添加到 Windows 的“不信任”列表,以 防范于未然 。下面便是具体的步骤了(包括 IE/Chrome/Firefox ):

1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)

3 、在 证书机构 (Authorites) 标签页中找到” CNNIC “组的” CNNIC ROOT “项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( RT JimmyXu: 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)

4 、在” Entrust.net “组中找到” Entrust.net Secure Server Certification Authority “ ( 序列号 37:4A:D2:43 的 ) 和” CNNIC SSL “证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)

 5 、打开开始菜单 -> 运行(或者直接按 Win-R )

6 、输入 certmgr.msc ,打开 Windows 的证书管理器。

7 、展开” 不受信任的证书 (Untrusted Certificates) “,右键单击其下” 证书 (Certificates) “项,在” 所有任务 (All Tasks) “子菜单下单击” 导入 (Import) … “

8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

想检验操作是否成功?在浏览器里访问  https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!

十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)

(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)

“如何阻止不信任的 CNNIC 证书”的36个回复

  1. OSX下的Safari里要从系统的钥匙串中修改:
    1.打开应用程序->实用工具->钥匙串访问;
    2.在钥匙串访问窗口右上角的搜索框里输入cnnic;
    3.别急着删,删了没用,得把它设置为不信任才行;
    4.在“CNNIC ROOT”上点右键,选“显示简介”;
    5.按“信任”边上的小三角,第一个“使用此证书时”选“永不信任”;
    6.要输入管理员密码验证一次。
    7.Done.
    8.再到https://www.enum.cn/就会告诉你无法验证了。

  2. “结果该网站瞬间由于流量过大而宕机。”貌似是被墙了,我翻墙可以看。

  3. 我有个疑问,
    在certmgr.msc中,察看CNNIC这个证书,选“属性”,禁用之。
    可以达到同样的目的吗?

  4. 我昨天看到过那篇文章,介绍如何将其加入不信任列表,今天又看到你的文章介绍这件事,虽然不是很明白为什么要这样做,但我还是照着做了。现在已经试验成功。PS:你的博客使用的评论字体在Firefox3.0下太小了,看不太清楚。

  5. 按照你的方法做了。Firefox已经提示证书被拒绝,但Chrome没有任何提示。这个有问题吗?

    另外,我想在我的博客上全文转载你的这篇文章可以吗?我会提供原文链接和原作者名。

  6. 我访问一篇内容同样的blog被重置了!http://felixcat.net/2010/01/throw-out-cnnic/。难道“删cnnic的证书”已经被GFW了?

  7. 发现一个问题:如果将firefox工具-选项-高级-加密中的“使用SSL3.0”选项勾上则上述办法不起作用。需要将此对勾去掉才会出现不信任的警告,否则还是信任的。

    这个选项好像安装时默认就是去掉的,但是有时候会因为特殊情况而勾上。

  8. 我用上面说的进行设置,FF可以成功的阻止,可是用Cr照常可以打开,这是怎么回事?

  9. 您好 我操作了 和以上几位一样 firefox 针对哪个验证网站有提示:不信任 是否需要例外等 ;ie浏览器 打不开 https://www.enum.cn/ 这个网页 ;不知道是否算成功了 另外,chrome没什么反应 ,这个网页可以查看 不知道chrome怎么设置
    还是说 不需要设置

    谢谢您的文章
    我觉得这样的事情 应该注明出处 多多转发
    让大家有隐私保密 不被侵犯的这种意识

  10. 有个P危险。CNNIC添加为不信任导致很多网站无法访问,连163都不行。
    平时诸位上网有那么多“危险”吗???顶多支付宝里几块钱,还能被人给骗走?
    怕危险就别上网。唉,真是因噎废食。

    1. 对于那种智商只适合上人民网、新华网的人来说,P危险也没有

  11. 在使用不同的电脑,或者公用电脑的时候操作太麻烦了。可否搞一个批处理,来处理这些事情?

  12. To:zeorx
    163都不行?你哪只眼睛看到163不行?
    删了后访问163完全无压力

    1. 别动怒,163的证书是CNNIC颁发的,而163有很多种访问方式,急速模式是不加密的,所以可以访问;勾选SSL方式,会因为证书禁用无法登陆

发表评论

电子邮件地址不会被公开。 必填项已用*标注