刚刚发现 CNNIC 的证书穿上马甲了！

certmgr.msc-删删删

byw,发现yandex自带的WOT插件拦截了cnnic.cn域名
http://www.mywot.com/scorecard/cnnic.cn?utm_source=addon&utm_content=warn-viewsc

我的电脑没有china internet network information center
倒是有三个阿里巴巴的。已经禁止了

我的观点是
CNNIC（和wosign等）通过正规途径，在有国际审核的情况下进入我电脑的CA，我是接受的；禁用他们，最大受害的还是因为各种原因选择这些CA的用户，而他们不一定是作恶的；这些CA自己如果做了坏事，很容易就被发现并且承担恶果。
真正需要警惕的是支付宝、财付通、12306、各种网银以“安全控件”的名义，未经正规途径审核的CA；他们想干坏事，成本小得多，后果严重得多。

非常赞同3楼的观点。

@lsylsy2 +10086

@xgowex 不能直接删，过了几分钟又回来了，更不能因为这个关闭自动更新CA。
正确做法是加入revoke列表。
@lsylsy2 我觉得CNNIC就算用来做坏事也不会大规模。
大概是已经盯上了某人，拿CNNIC单独劫持掉SSL通信，获取密码信息等。
被盯到这个程度就已经很麻烦了，感觉逃亡国外吧。
老老实实做事不会被这种程度的劫持，因为一旦CNNIC被抓到了证据那么不仅CA会在几天内从所有电脑上消失，还会导致gov机构名誉受损，损失太大了。。

@hjc4869 我觉着我没犯下有必要使用这种手段来盯我的事情，so无所谓了

不明白要声誉没声誉，要经验没经验，要用户没用户，要名气没名气的CNNIC ROOT是如何被大多OS默认信任的

@xgowex 能通过WebTrust审计的CA就有资格向各大浏览器申请添加信任.

@lsylsy2 CNNIC在申请信任的时候当然不会做任何恶心人的事情，之前CNNIC做的恶心人的事情在申请的时候当然会隐瞒，而那些事情没有哪个国际化的大型网站报道过，自然知道的人不多。所以CNNIC在国际机构的申请还是能通过的。

至于成为了受信任的根证书颁发机构了之后会怎么样，现在确实还不知道。不过要注意到两点：

1、CNNIC在国内是唯一的操作系统、浏览器自带“受信任的根证书颁发机构”，这是垄断地位。

2、CNNIC的第一个申请的名称“CNNIC-CNNIC ROOT”过期时间是2027年4月16日，但是我是今天才注意到CNNIC又申请了一个“China Internet Network Information Center-china internet network information center ev certificates root”的马甲，当然是早就出现了。

CNNIC ROOT是2007年进入“受信任的根证书颁发机构”的，在远远早于CNNIC的过期时间的时候，CNNIC就又申请了这个马甲并且把CNNIC ROOT的证书废除了（This certificate was revoked by its certification authority.），这不是很有问题么。

@lsylsy2 求教怎么插图？

@Cu635 微博是个好图床，然后直接把图片url粘贴

@Cu635 我这里看，旧证书并未被吊销，“This certificate was revoked by its certification authority.”很可能是因为你把它拖进不信任列表了

看9楼的图片感觉国内只要是个互联网公司，以安全的名义搞个插件非要给你加个自己家弄得CA这是为什么？

@lsylsy2 现在说的有点晚了，不过刚想起来我自己发过这么一个帖子……

今年（ 2015 年） 3 月份， google 发现 CNNIC 名下的一批假证书， 4 月份宣布不再信任 CNNIC 证书。之后 google 、 mozilla 、 Microsoft 跟进，都已经不信任 CNNIC 了。为了不让用户不方便，当时是以白名单的方式让用户继续使用的。

现在 5 个月过去了，不知道还在没在白名单里。

@20140930 @20140930 @hjc4869 @lsylsy2
见上面我的回复。
新闻我就不贴地址了，主要是现在刚想起来我自己在这里发过这么一篇帖子。