大家还记得 CNNIC ROOT 这个证书颁发机构吗？

ejin

2014-06-17 23:23:09 +08:00

60人点击1人收藏就是没人回复 = = 难道都block我了。唉，算了。

dangge

2014-06-17 23:26:11 +08:00

CNNIC记得以前好像出过什么事
然后都呼吁赶紧把系统中CNNIC证书删掉

geeklian

2014-06-17 23:30:40 +08:00

现在看来完全是杞人忧天。
当初都以为cnnic会被gfw拿来做境外https的中间人攻击。
没想到gfw直接靠block ip域名这么干脆。

billlee

2014-06-17 23:35:17 +08:00

@dangge CNNIC 是一进入 Firefox 的 root CA 就被呼吁删除的吧

efi

2014-06-17 23:37:18 +08:00

Verisign是美国政府的婊子，为啥不把它删掉？专业一点不要情绪用事。

ejin

2014-06-17 23:37:30 +08:00

@dangge 主要是CNNIC在国内信誉不好，而且因为上层的原因（咱们就不说明白了，大家都懂的），所以那时候都很担心，都在说要删，删了国内有些站是会访问不到的，后来渐渐忘记这个事情了。

@geeklian 是啊，以前就是担心中间人攻击，所以就到处呼吁，结果几年下来，这方面还是没出过问题（起码没被抓到）。那时候真的没想到一个问题，就是可以信任，也可以被扔入不信任列表，所以我是懒得再删除了。至于gfw这玩意嘛，不好说！各有各道理。

ejin

2014-06-17 23:40:17 +08:00

@billlee 好像是同时进入的，windows和firefox
@efi 那时候估计大家一下子被吓到了，所以没考虑不信任列表这个因素，事实上我现在认为，只要一干坏事就很容易被抓到，然后肯定就进去不信任列表了……

clino

2014-06-17 23:41:16 +08:00

@geeklian 中间人攻击这个可以单独针对性攻击,不会用大规模使用这么SB的,普通人哪里会成为这种目标
这种攻击的目的会是窃取加密信息,和GFW的无差别屏蔽的目的会是两回事

lehui99

2014-06-17 23:49:31 +08:00

@clino 终于有个人的想法和我从一个内部人士那道听途说的不谋而合了，说这个证书是针对少部分敏感人士的，他们电脑技术都不高，而且很多还被软禁或半软禁状态，如果劫持没被发现则可以窃取“罪证”，如果被发现直接冲进去没收电脑，没机会给你保存证书。说是某些浏览器会自动上报有问题的证书，然后把上报服务器给墙了。所以干了坏事也发现不了。

以上只是吃饭时闲聊得到的消息，真假自己判断。

JoeyChan

2014-06-17 23:51:04 +08:00

国内大站貌似很少有用cnnic的证书，我删除了cnnic的信任大概有一两年时间了，到目前为止只发现windowsazure.cn用它家的证书，结果我上不了azure网站了，哈！

66CCFF

2014-06-17 23:51:36 +08:00

windows Azure中国版现在使用cnnic的证书。。OTL

BinbinWang

2014-06-17 23:52:59 +08:00

cnnic的ssl证书是免费的，.cn域名都可以去免费申请。

传送门 https://dq.cnnic.cn/

eirk2004

2014-06-17 23:54:18 +08:00

大家不要忘了阿里、支付宝、还有部分网银添加的证书。我觉得要保持一定的警惕。

CNNIC ROOT有时候禁用不行，因为我碰到过两次游戏客户端，都要求使用CNNIC ROOT作为SSL登录的证书

Lone

2014-06-17 23:55:08 +08:00

CNNIC证书对于绝大部分人几乎没有影响，但是屁股粘点屎的都得小心，需要用CNNIC证书钓鱼的人属于随时吃皇粮的人。

简单查了这个审计，大概是审计业务运作逻辑安全性、保密性，CNNIC要过这种审计并没有难度，但是，再牛逼的系统还是人操作。

用假证书确实会留下证据，但是我不认为钓鱼的人会SB到用假证书去钓一个黑客或有足够电脑知识的人，某些人被钓鱼的话，恐怕用不了多久连电脑也会被收走。

况且，CNNIC被抓包找几个人当替罪羊就可以给个交代了，对于单位来说国际声誉就是浮云，外国人又不会买CNNIC证书，这种新闻国内又不能报道，结果该买CNNIC证书的人还是会继续买。

简单点说CNNIC信任问题就是：CNNIC是政府的事业单位，你信不信这个单位？

lehui99

2014-06-17 23:57:55 +08:00

@Lone 顶一下，又和我在9楼的说法不谋而合：电脑被没收。

geeklian

2014-06-17 23:58:01 +08:00

我觉得跟证书机构那么多，国安、NSA找几个，随便打入内部，拿到私钥应该是轻而易举的。
反倒是cnnic对于国安，可能太显眼了。
@clino

billlee

2014-06-18 00:00:17 +08:00

针对 CA 安全的问题，Firefox 可以使用 Certificate Patrol 这个扩展

Quaintjade

2014-06-18 00:01:35 +08:00

1. 可以认为cnnic ca目前尚未发现用来干坏事。
2. 一个以前种种行为表明其人品不好的人，给他一把枪当然会遭到反对。他可能不会干什么小坏事，但指不定哪天干桩大事。
3. E&Y老本行是财务审计，而电子商务审计是衍生产业。所谓审计就是执行一堆规定的流程，然后声明：
我们实施了必要的审计流程，可以在合理范围内保证被审计对象截至XX日期是符合标准的；但是由于一些固有限制，仍可能存在差错；报告日之后的变化不关我们鸟事；标准以外的事项也不关我们鸟事。
扫了眼WebTrust的标准，貌似没包括政府凌驾于根证书颁发商之上的情况。
再说四大事务所又如何？想在国内混饭吃可能与政府作对么？

clino

2014-06-18 00:09:49 +08:00

@eirk2004 这种我倒是觉得不太用担心,除非底下操作的攻击者缺钱自己私自拿去黑别人帐号(这种大体只能弄小钱风险也不低),否则应该不会出现,主子都不会缺钱的
纯猜...

Quaintjade

2014-06-18 00:11:43 +08:00

@geeklian 听说ROOT CA的私钥有的是存银行保险柜里的，可能一年都不会拿出来一次。签发证书一般都是Intermediate CA，我觉得一般就一直放在签发程序里不会动它。想把CA偷偷搞出来没那么容易。