大家还记得 CNNIC ROOT 这个证书颁发机构吗?

2014-06-17 22:43:16 +08:00
 ejin
无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。

于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!

我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。

问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)

随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?

在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
17321 次点击
所在节点    SSL
54 条回复
JTR
2014-06-18 09:51:01 +08:00
用户群果然变了 相信cnnic的也出现了
jasontse
2014-06-18 09:53:27 +08:00
@Shieffan 可是就是有人把私钥也交给 CA 生成
jasontse
2014-06-18 09:59:03 +08:00
很多国内的 CA 代理商是私钥和 CSR 包办的,这种漏洞应该会出现在很多小网站上。
Shieffan
2014-06-18 10:00:38 +08:00
@jasontse 额,国内的一些ssl reseller好像还真有不少提供这种”全套“服务的。

不过我觉得如果网站的运维都到了这个水平还搞个毛的SSL啊,估计网站早就万人骑了,加个SSL也只是找点儿心理安慰吧。
jasontse
2014-06-18 10:02:09 +08:00
还有大家申请 StartSSL 的时候也要注意,网上绝大部分教程都是直接在 StartSSL 网站上搞定一切。CSR 什么的完全不管,私钥的密码也是交给 StartSSL 来去除。
jerryjhou
2014-06-18 10:44:34 +08:00
@efi 删掉那个HTTPS的网站有极高几率进不去
notcome
2014-06-18 15:35:15 +08:00
难道 CNNIC 开启中间人攻击能被大规模检测到嘛……
notcome
2014-06-18 15:35:47 +08:00
@jasontse 不是很懂,谷歌北京的机房无墙……?
JoyNeop
2014-06-19 13:58:45 +08:00
美国之外的 CA 不信任,受美国政府控制的 CA 不信任,就这么简单。
Cu635
2014-11-20 17:12:37 +08:00
不好意思挖个坟。我今天才发现firefox已经不再信任cnnic证书了。

确实,firefox还带着cnnic root,但是把它的三个功能都给禁止了。我自己修改信任还是在cnnic这事儿刚刚出来的时候,后来重新装过一次系统却把这事儿给忘了。

所以说lz说的“cnnic一直被信任”不成立。
ejin
2014-11-21 08:46:22 +08:00
@Cu635 哥们你逗我玩呢,被你这样一说,我马上去下载了一个Firefox 33.1.1,什么都不改直接打开设置看,为什么我的不是三个功能都被禁止了?是不是你自己禁止的?或者你的Firefox是在哪下载的?或者我下载的和你下载的不是同一个Firefox?

建议你卸载干净,全新安装!再看看是不是你说的那样!这是Firefox的下载地址,认准了https防劫持下载地址

https://download.mozilla.org/?product=firefox-33.1.1-SSL&os=win&lang=zh-CN

这是截图

hahafofo
2015-03-24 13:56:05 +08:00
http://www.solidot.org/story?sid=43434 最后还是悲剧了,cnnic终于发大招了
hahafofo
2015-03-24 13:56:25 +08:00
@hahafofo CNNIC发行的中级CA发行了Google的假证书
ejin
2015-04-08 15:51:53 +08:00
@hahafofo “CNNIC发行的中级CA发行了Google的假证书”

这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。

至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/118059

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX