大家还记得 CNNIC ROOT 这个证书颁发机构吗?

2014-06-17 22:43:16 +08:00
 ejin
无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。

于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!

我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。

问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)

随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?

在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
17472 次点击
所在节点    SSL
54 条回复
ejin
2014-06-17 23:23:09 +08:00
60人点击1人收藏就是没人回复 = = 难道都block我了。唉,算了。
dangge
2014-06-17 23:26:11 +08:00
CNNIC记得以前好像出过什么事
然后都呼吁赶紧把系统中CNNIC证书删掉
geeklian
2014-06-17 23:30:40 +08:00
现在看来完全是杞人忧天。
当初都以为cnnic会被gfw拿来做境外https的中间人攻击。
没想到gfw直接靠block ip域名这么干脆。
billlee
2014-06-17 23:35:17 +08:00
@dangge CNNIC 是一进入 Firefox 的 root CA 就被呼吁删除的吧
efi
2014-06-17 23:37:18 +08:00
Verisign是美国政府的婊子,为啥不把它删掉?专业一点不要情绪用事。
ejin
2014-06-17 23:37:30 +08:00
@dangge 主要是CNNIC在国内信誉不好,而且因为上层的原因(咱们就不说明白了,大家都懂的),所以那时候都很担心,都在说要删,删了国内有些站是会访问不到的,后来渐渐忘记这个事情了。


@geeklian 是啊,以前就是担心中间人攻击,所以就到处呼吁,结果几年下来,这方面还是没出过问题(起码没被抓到)。那时候真的没想到一个问题,就是可以信任,也可以被扔入不信任列表,所以我是懒得再删除了。至于gfw这玩意嘛,不好说!各有各道理。
ejin
2014-06-17 23:40:17 +08:00
@billlee 好像是同时进入的,windows和firefox
@efi 那时候估计大家一下子被吓到了,所以没考虑不信任列表这个因素,事实上我现在认为,只要一干坏事就很容易被抓到,然后肯定就进去不信任列表了……
clino
2014-06-17 23:41:16 +08:00
@geeklian 中间人攻击这个可以单独针对性攻击,不会用大规模使用这么SB的,普通人哪里会成为这种目标
这种攻击的目的会是窃取加密信息,和GFW的无差别屏蔽的目的会是两回事
lehui99
2014-06-17 23:49:31 +08:00
@clino 终于有个人的想法和我从一个内部人士那道听途说的不谋而合了,说这个证书是针对少部分敏感人士的,他们电脑技术都不高,而且很多还被软禁或半软禁状态,如果劫持没被发现则可以窃取“罪证”,如果被发现直接冲进去没收电脑,没机会给你保存证书。说是某些浏览器会自动上报有问题的证书,然后把上报服务器给墙了。所以干了坏事也发现不了。

以上只是吃饭时闲聊得到的消息,真假自己判断。
JoeyChan
2014-06-17 23:51:04 +08:00
国内大站貌似很少有用cnnic的证书,我删除了cnnic的信任大概有一两年时间了,到目前为止只发现windowsazure.cn用它家的证书,结果我上不了azure网站了,哈!
66CCFF
2014-06-17 23:51:36 +08:00
windows Azure中国版现在使用cnnic的证书。。OTL
BinbinWang
2014-06-17 23:52:59 +08:00
cnnic的ssl证书是免费的,.cn域名都可以去免费申请。


传送门 https://dq.cnnic.cn/
eirk2004
2014-06-17 23:54:18 +08:00
大家不要忘了阿里、支付宝、还有部分网银添加的证书。我觉得要保持一定的警惕。

CNNIC ROOT有时候禁用不行,因为我碰到过两次游戏客户端,都要求使用CNNIC ROOT作为SSL登录的证书
Lone
2014-06-17 23:55:08 +08:00
CNNIC证书对于绝大部分人几乎没有影响,但是屁股粘点屎的都得小心,需要用CNNIC证书钓鱼的人属于随时吃皇粮的人。

简单查了这个审计,大概是审计业务运作逻辑安全性、保密性,CNNIC要过这种审计并没有难度,但是,再牛逼的系统还是人操作。

用假证书确实会留下证据,但是我不认为钓鱼的人会SB到用假证书去钓一个黑客或有足够电脑知识的人,某些人被钓鱼的话,恐怕用不了多久连电脑也会被收走。

况且,CNNIC被抓包找几个人当替罪羊就可以给个交代了,对于单位来说国际声誉就是浮云,外国人又不会买CNNIC证书,这种新闻国内又不能报道,结果该买CNNIC证书的人还是会继续买。

简单点说CNNIC信任问题就是:CNNIC是政府的事业单位,你信不信这个单位?
lehui99
2014-06-17 23:57:55 +08:00
@Lone 顶一下,又和我在9楼的说法不谋而合:电脑被没收。
geeklian
2014-06-17 23:58:01 +08:00
我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的。
反倒是cnnic对于国安,可能太显眼了。
@clino
billlee
2014-06-18 00:00:17 +08:00
针对 CA 安全的问题,Firefox 可以使用 Certificate Patrol 这个扩展
Quaintjade
2014-06-18 00:01:35 +08:00
1. 可以认为cnnic ca目前尚未发现用来干坏事。
2. 一个以前种种行为表明其人品不好的人,给他一把枪当然会遭到反对。他可能不会干什么小坏事,但指不定哪天干桩大事。
3. E&Y老本行是财务审计,而电子商务审计是衍生产业。所谓审计就是执行一堆规定的流程,然后声明:
我们实施了必要的审计流程,可以在合理范围内保证被审计对象截至XX日期是符合标准的;但是由于一些固有限制,仍可能存在差错;报告日之后的变化不关我们鸟事;标准以外的事项也不关我们鸟事。
扫了眼WebTrust的标准,貌似没包括政府凌驾于根证书颁发商之上的情况。
再说四大事务所又如何?想在国内混饭吃可能与政府作对么?
clino
2014-06-18 00:09:49 +08:00
@eirk2004 这种我倒是觉得不太用担心,除非底下操作的攻击者缺钱自己私自拿去黑别人帐号(这种大体只能弄小钱风险也不低),否则应该不会出现,主子都不会缺钱的
纯猜...
Quaintjade
2014-06-18 00:11:43 +08:00
@geeklian 听说ROOT CA的私钥有的是存银行保险柜里的,可能一年都不会拿出来一次。签发证书一般都是Intermediate CA,我觉得一般就一直放在签发程序里不会动它。想把CA偷偷搞出来没那么容易。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/118059

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX