如何阻止不信任的 CNNIC 证书

上张贴

是的,CNNIC 这个完全不可信任的有关部门,竟然诱惑微软将其列为根证书发布者,这个消息太可怕了。并且 Firefox 也信任了 CNNIC 证书,这是疯狂的事情,中国互联网将更加恐怖。

钓鱼、欺诈、窃取用户隐私、完全没有法律规则可寻,要想避免其害,必须尽快将其根证书列为不信任。要想知道何为数字证书,请访问维基百科,以及数字证书欺诈会产生什么后果

Twitter 上有同学分享了 CNNIC ,我不信任你!——从“受信任的根证书”里赶走 CNNIC | Felix’s Blog,结果该网站瞬间由于流量过大而宕机。 而我手快删除了 Firefox 的证书,结果没办法让 IE 也不信任它。

提供证书下载:https://dl.dropbox.com/u/1356279/proxys/CNNIC.7z 感谢 @flying19880517 和 @terryxxy 提供证书给我。注意此证书是用来不信任的,不是用来安装的。

由于 Firefox 可以很容易的删除证书使其变为不受信,但 IE 证书就需要使用 Windows 的证书管理器来添加,所以还是需要下载后导入使其不受信任。另外苹果用户参考 苹果下的FIREFOX如何删除CNNIC的根证书,需翻墙。
从 GR 里搜索到了该文章,转载如下:


Twitter 上惊闻“ 微软把 CNNIC 列为根证书发布者 ”,赶紧 Google 一把,发现 Mozilla 同样也已经在 3.6 版 的 Firefox 里这么做了。

出于对 CNNIC 深深的不信任,我决定将 CNNIC ROOT 从“受信任”的列表里赶出去。

因为 IE/Chrome 采用微软的 CA 目录,而微软现在暂未将 CNNIC 加入,因此需要先从 Firefox 中导出这几个证书。再添加到 Windows 的“不信任”列表,以 防范于未然 。下面便是具体的步骤了(包括 IE/Chrome/Firefox ):

1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)

3 、在 证书机构 (Authorites) 标签页中找到” CNNIC “组的” CNNIC ROOT “项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( RT JimmyXu: 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)

4 、在” Entrust.net “组中找到” Entrust.net Secure Server Certification Authority “ ( 序列号 37:4A:D2:43 的 ) 和” CNNIC SSL “证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)

 5 、打开开始菜单 -> 运行(或者直接按 Win-R )

6 、输入 certmgr.msc ,打开 Windows 的证书管理器。

7 、展开” 不受信任的证书 (Untrusted Certificates) “,右键单击其下” 证书 (Certificates) “项,在” 所有任务 (All Tasks) “子菜单下单击” 导入 (Import) … “

8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

想检验操作是否成功?在浏览器里访问  https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!

十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)

(另:十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字,谢谢!)