大家还记得 CNNIC ROOT 这个证书颁发机构吗?

2014-06-17 22:43:16 +08:00
 ejin
无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。

于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!

我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。

问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)

随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?

在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
17470 次点击
所在节点    SSL
54 条回复
clino
2014-06-18 00:13:56 +08:00
@geeklian
"反倒是cnnic对于国安,可能太显眼了。"
有针对性的攻击一点不会显眼的,特别现在早被淡忘的情况下

"我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的"
这个还真是更不安全,那些都是国外的,一不小心泄漏了会弄一个国际丑闻出来的,cnnic都在国内,方便不说,出了事灭口也方便嘛
046569
2014-06-18 02:55:14 +08:00
一直奉公守法的好公民表示亲历攻击:
请立即屏蔽不受信任的根证书
http://bbs.ymate.me/t/411/1/1
virushuo
2014-06-18 04:47:42 +08:00
对中国ip的伪造google证书的中间人攻击大规模出现也有几次。只不过持续时间不长,很多人没注意到罢了,可以理解大规模出现是一种测试。

历史上cnnic做过的坏事多了去了,曾经流氓软件大战也是他们挑起的。这种组织没什么可信的。

审计只是审计制度,没法审计出来做没做过坏事。不然会计公司就成成私人侦探了。

在cnnic检讨历史上做过的坏事之前,还是不信任他们比较好。
dndx
2014-06-18 06:42:34 +08:00
@geeklian
@Quaintjade
@clino

楼上各位明显不了解情况,各家 CA 可不用 openssl 之类的低端货,人家储存私钥(不管是根证书私钥还是中间证书私钥)用的都是 HSM ,别说国安,就是 CNNIC 的老板也不知道他们的私钥长什么样。
HSM 的工作原理就是一台完全黑盒的机器,公私钥完全在内部生成,只有公钥可以导出。签证书也是把 CSR 发到机器里签。想把私钥偷走,还不如直接把机器抱走简单。

问题是你把机器抱走人家还能发现不了?
clino
2014-06-18 07:40:05 +08:00
@dndx 笑话,只是需要一个用于中间人攻击的证书,为什么要拿到私钥?直接命令你给我生成一个就好了。
dndx
2014-06-18 07:58:58 +08:00
@clino 明明你自己回复里在说私钥的事。如果是行政强制手段那的确无解,你还不如说国安去把 Google 北京机房抄了,效率更高。
clino
2014-06-18 08:20:01 +08:00
@dndx 你看清楚那是我引用别人的,在引号里
jasontse
2014-06-18 08:22:51 +08:00
还有一个问题,使用 CNNIC ROOT 的证书来做加密是否安全? 因为他们持有你的私钥,在不使用 Perfect Forward Secrecy 的情况下有没有可能直接解密数据流?
clino
2014-06-18 08:23:50 +08:00
@dndx 把google机房抄了不会引起国际纠纷?cnnic可是自己人,一定要有个自己的根证书好处就在这里。
jasontse
2014-06-18 08:27:29 +08:00
@clino 不一定要抄机房啊,Google 北京服务器有黑科技的原因是他们自己做 BGP,而且有一条 IPv6 的 Peering 直连 Google 全球网络。
http://bgp.he.net/AS24424#_peers6
Shieffan
2014-06-18 08:29:01 +08:00
从技术层面上来说,没有证据证明cnnic的这个根证书做过恶,暂时是可信的。

但我还是remove了它
lm902
2014-06-18 09:08:34 +08:00
明明是CNNIC Root, 不是CNNIC ROOT
belin520
2014-06-18 09:11:38 +08:00
@ejin 楼主的内心好脆弱
不知道上面这句话会不会打击到你
lm902
2014-06-18 09:13:02 +08:00
个人认为CNNIC Root的存在是为了通过为.cn域名提供免费证书来让大家备案网站和用.cn域名
kstsca
2014-06-18 09:27:24 +08:00
@BinbinWang 域名或电子邮箱与申请信息不一致! 貌似不行,你们试试
lehui99
2014-06-18 09:30:29 +08:00
@jasontse 笑话,教育网都能通过IPv6连接 Google 全球网络呢,照你这么说教育网用户都有能力生成用于中间人攻击的证书了。
jasontse
2014-06-18 09:34:30 +08:00
@lehui99 你好像理解错了,我只是说北京谷歌自己的"黑科技",跟 SSL 没有关系。
Shieffan
2014-06-18 09:39:04 +08:00
@jasontse "因为他们持有你的私钥", 什么意思呢? CNNIC怎么会有我的私钥?
jasontse
2014-06-18 09:46:47 +08:00
@Shieffan
CA 在签证书给你的过程中可能保存了私钥。
Shieffan
2014-06-18 09:50:12 +08:00
@jasontse 开玩笑,找CA签证书签的又不是我的私钥,哪个业余的运维会把私钥提交给CA。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/118059

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX