V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ejin
V2EX  ›  SSL

大家还记得 CNNIC ROOT 这个证书颁发机构吗?

  •  2
     
  •   ejin · 2014-06-17 22:43:16 +08:00 · 17504 次点击
    这是一个创建于 3841 天前的主题,其中的信息可能已经有所发展或是发生改变。
    无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。

    于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!

    我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。

    问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)

    随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?

    在知乎看到2条王磊的回答,觉得还是靠谱的。
    http://www.zhihu.com/question/20390773
    http://www.zhihu.com/question/20746900
    以下引用自以上网址
    “CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
    第 1 条附言  ·  2015-04-08 16:07:41 +08:00
    “CNNIC发行的中级CA发行了Google的假证书”

    这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整(所以我也觉得没必要自己是评估,他们都会处理好的)。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。

    至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了(接到举报马上处理)。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。

    我的想法还是比较中立的,专业的事情还是专业的人去做的好(指监管和风险评估),自己去评估风险也只能从媒体捕风捉影,而媒体最喜欢夸大事情让人搞不清一开始到底是怎么回事。伪造证书这种付出成本太高的事情,又能去做几次呢?出了一次事情已经让各大浏览器厂商敏感了。还能来第二次?

    另外也证明,使用一个现代浏览器是很有必要的。因为他们会为我们考虑更多。
    54 条回复    2015-04-08 15:51:53 +08:00
    ejin
        1
    ejin  
    OP
       2014-06-17 23:23:09 +08:00
    60人点击1人收藏就是没人回复 = = 难道都block我了。唉,算了。
    dangge
        2
    dangge  
       2014-06-17 23:26:11 +08:00
    CNNIC记得以前好像出过什么事
    然后都呼吁赶紧把系统中CNNIC证书删掉
    geeklian
        3
    geeklian  
       2014-06-17 23:30:40 +08:00 via iPad
    现在看来完全是杞人忧天。
    当初都以为cnnic会被gfw拿来做境外https的中间人攻击。
    没想到gfw直接靠block ip域名这么干脆。
    billlee
        4
    billlee  
       2014-06-17 23:35:17 +08:00
    @dangge CNNIC 是一进入 Firefox 的 root CA 就被呼吁删除的吧
    efi
        5
    efi  
       2014-06-17 23:37:18 +08:00
    Verisign是美国政府的婊子,为啥不把它删掉?专业一点不要情绪用事。
    ejin
        6
    ejin  
    OP
       2014-06-17 23:37:30 +08:00   ❤️ 1
    @dangge 主要是CNNIC在国内信誉不好,而且因为上层的原因(咱们就不说明白了,大家都懂的),所以那时候都很担心,都在说要删,删了国内有些站是会访问不到的,后来渐渐忘记这个事情了。


    @geeklian 是啊,以前就是担心中间人攻击,所以就到处呼吁,结果几年下来,这方面还是没出过问题(起码没被抓到)。那时候真的没想到一个问题,就是可以信任,也可以被扔入不信任列表,所以我是懒得再删除了。至于gfw这玩意嘛,不好说!各有各道理。
    ejin
        7
    ejin  
    OP
       2014-06-17 23:40:17 +08:00
    @billlee 好像是同时进入的,windows和firefox
    @efi 那时候估计大家一下子被吓到了,所以没考虑不信任列表这个因素,事实上我现在认为,只要一干坏事就很容易被抓到,然后肯定就进去不信任列表了……
    clino
        8
    clino  
       2014-06-17 23:41:16 +08:00
    @geeklian 中间人攻击这个可以单独针对性攻击,不会用大规模使用这么SB的,普通人哪里会成为这种目标
    这种攻击的目的会是窃取加密信息,和GFW的无差别屏蔽的目的会是两回事
    lehui99
        9
    lehui99  
       2014-06-17 23:49:31 +08:00 via Android
    @clino 终于有个人的想法和我从一个内部人士那道听途说的不谋而合了,说这个证书是针对少部分敏感人士的,他们电脑技术都不高,而且很多还被软禁或半软禁状态,如果劫持没被发现则可以窃取“罪证”,如果被发现直接冲进去没收电脑,没机会给你保存证书。说是某些浏览器会自动上报有问题的证书,然后把上报服务器给墙了。所以干了坏事也发现不了。

    以上只是吃饭时闲聊得到的消息,真假自己判断。
    JoeyChan
        10
    JoeyChan  
       2014-06-17 23:51:04 +08:00
    国内大站貌似很少有用cnnic的证书,我删除了cnnic的信任大概有一两年时间了,到目前为止只发现windowsazure.cn用它家的证书,结果我上不了azure网站了,哈!
    66CCFF
        11
    66CCFF  
       2014-06-17 23:51:36 +08:00
    windows Azure中国版现在使用cnnic的证书。。OTL
    BinbinWang
        12
    BinbinWang  
       2014-06-17 23:52:59 +08:00
    cnnic的ssl证书是免费的,.cn域名都可以去免费申请。


    传送门 https://dq.cnnic.cn/
    eirk2004
        13
    eirk2004  
       2014-06-17 23:54:18 +08:00
    大家不要忘了阿里、支付宝、还有部分网银添加的证书。我觉得要保持一定的警惕。

    CNNIC ROOT有时候禁用不行,因为我碰到过两次游戏客户端,都要求使用CNNIC ROOT作为SSL登录的证书
    Lone
        14
    Lone  
       2014-06-17 23:55:08 +08:00
    CNNIC证书对于绝大部分人几乎没有影响,但是屁股粘点屎的都得小心,需要用CNNIC证书钓鱼的人属于随时吃皇粮的人。

    简单查了这个审计,大概是审计业务运作逻辑安全性、保密性,CNNIC要过这种审计并没有难度,但是,再牛逼的系统还是人操作。

    用假证书确实会留下证据,但是我不认为钓鱼的人会SB到用假证书去钓一个黑客或有足够电脑知识的人,某些人被钓鱼的话,恐怕用不了多久连电脑也会被收走。

    况且,CNNIC被抓包找几个人当替罪羊就可以给个交代了,对于单位来说国际声誉就是浮云,外国人又不会买CNNIC证书,这种新闻国内又不能报道,结果该买CNNIC证书的人还是会继续买。

    简单点说CNNIC信任问题就是:CNNIC是政府的事业单位,你信不信这个单位?
    lehui99
        15
    lehui99  
       2014-06-17 23:57:55 +08:00 via Android
    @Lone 顶一下,又和我在9楼的说法不谋而合:电脑被没收。
    geeklian
        16
    geeklian  
       2014-06-17 23:58:01 +08:00 via iPad
    我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的。
    反倒是cnnic对于国安,可能太显眼了。
    @clino
    billlee
        17
    billlee  
       2014-06-18 00:00:17 +08:00
    针对 CA 安全的问题,Firefox 可以使用 Certificate Patrol 这个扩展
    Quaintjade
        18
    Quaintjade  
       2014-06-18 00:01:35 +08:00
    1. 可以认为cnnic ca目前尚未发现用来干坏事。
    2. 一个以前种种行为表明其人品不好的人,给他一把枪当然会遭到反对。他可能不会干什么小坏事,但指不定哪天干桩大事。
    3. E&Y老本行是财务审计,而电子商务审计是衍生产业。所谓审计就是执行一堆规定的流程,然后声明:
    我们实施了必要的审计流程,可以在合理范围内保证被审计对象截至XX日期是符合标准的;但是由于一些固有限制,仍可能存在差错;报告日之后的变化不关我们鸟事;标准以外的事项也不关我们鸟事。
    扫了眼WebTrust的标准,貌似没包括政府凌驾于根证书颁发商之上的情况。
    再说四大事务所又如何?想在国内混饭吃可能与政府作对么?
    clino
        19
    clino  
       2014-06-18 00:09:49 +08:00
    @eirk2004 这种我倒是觉得不太用担心,除非底下操作的攻击者缺钱自己私自拿去黑别人帐号(这种大体只能弄小钱风险也不低),否则应该不会出现,主子都不会缺钱的
    纯猜...
    Quaintjade
        20
    Quaintjade  
       2014-06-18 00:11:43 +08:00
    @geeklian 听说ROOT CA的私钥有的是存银行保险柜里的,可能一年都不会拿出来一次。签发证书一般都是Intermediate CA,我觉得一般就一直放在签发程序里不会动它。想把CA偷偷搞出来没那么容易。
    clino
        21
    clino  
       2014-06-18 00:13:56 +08:00
    @geeklian
    "反倒是cnnic对于国安,可能太显眼了。"
    有针对性的攻击一点不会显眼的,特别现在早被淡忘的情况下

    "我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的"
    这个还真是更不安全,那些都是国外的,一不小心泄漏了会弄一个国际丑闻出来的,cnnic都在国内,方便不说,出了事灭口也方便嘛
    046569
        22
    046569  
       2014-06-18 02:55:14 +08:00
    一直奉公守法的好公民表示亲历攻击:
    请立即屏蔽不受信任的根证书
    http://bbs.ymate.me/t/411/1/1
    virushuo
        23
    virushuo  
       2014-06-18 04:47:42 +08:00
    对中国ip的伪造google证书的中间人攻击大规模出现也有几次。只不过持续时间不长,很多人没注意到罢了,可以理解大规模出现是一种测试。

    历史上cnnic做过的坏事多了去了,曾经流氓软件大战也是他们挑起的。这种组织没什么可信的。

    审计只是审计制度,没法审计出来做没做过坏事。不然会计公司就成成私人侦探了。

    在cnnic检讨历史上做过的坏事之前,还是不信任他们比较好。
    dndx
        24
    dndx  
       2014-06-18 06:42:34 +08:00
    @geeklian
    @Quaintjade
    @clino

    楼上各位明显不了解情况,各家 CA 可不用 openssl 之类的低端货,人家储存私钥(不管是根证书私钥还是中间证书私钥)用的都是 HSM ,别说国安,就是 CNNIC 的老板也不知道他们的私钥长什么样。
    HSM 的工作原理就是一台完全黑盒的机器,公私钥完全在内部生成,只有公钥可以导出。签证书也是把 CSR 发到机器里签。想把私钥偷走,还不如直接把机器抱走简单。

    问题是你把机器抱走人家还能发现不了?
    clino
        25
    clino  
       2014-06-18 07:40:05 +08:00 via Android
    @dndx 笑话,只是需要一个用于中间人攻击的证书,为什么要拿到私钥?直接命令你给我生成一个就好了。
    dndx
        26
    dndx  
       2014-06-18 07:58:58 +08:00
    @clino 明明你自己回复里在说私钥的事。如果是行政强制手段那的确无解,你还不如说国安去把 Google 北京机房抄了,效率更高。
    clino
        27
    clino  
       2014-06-18 08:20:01 +08:00 via Android
    @dndx 你看清楚那是我引用别人的,在引号里
    jasontse
        28
    jasontse  
       2014-06-18 08:22:51 +08:00 via iPad
    还有一个问题,使用 CNNIC ROOT 的证书来做加密是否安全? 因为他们持有你的私钥,在不使用 Perfect Forward Secrecy 的情况下有没有可能直接解密数据流?
    clino
        29
    clino  
       2014-06-18 08:23:50 +08:00 via Android
    @dndx 把google机房抄了不会引起国际纠纷?cnnic可是自己人,一定要有个自己的根证书好处就在这里。
    jasontse
        30
    jasontse  
       2014-06-18 08:27:29 +08:00 via iPad
    @clino 不一定要抄机房啊,Google 北京服务器有黑科技的原因是他们自己做 BGP,而且有一条 IPv6 的 Peering 直连 Google 全球网络。
    http://bgp.he.net/AS24424#_peers6
    Shieffan
        31
    Shieffan  
       2014-06-18 08:29:01 +08:00 via iPhone
    从技术层面上来说,没有证据证明cnnic的这个根证书做过恶,暂时是可信的。

    但我还是remove了它
    lm902
        32
    lm902  
       2014-06-18 09:08:34 +08:00 via Android
    明明是CNNIC Root, 不是CNNIC ROOT
    belin520
        33
    belin520  
       2014-06-18 09:11:38 +08:00
    @ejin 楼主的内心好脆弱
    不知道上面这句话会不会打击到你
    lm902
        34
    lm902  
       2014-06-18 09:13:02 +08:00 via Android
    个人认为CNNIC Root的存在是为了通过为.cn域名提供免费证书来让大家备案网站和用.cn域名
    kstsca
        35
    kstsca  
       2014-06-18 09:27:24 +08:00
    @BinbinWang 域名或电子邮箱与申请信息不一致! 貌似不行,你们试试
    lehui99
        36
    lehui99  
       2014-06-18 09:30:29 +08:00
    @jasontse 笑话,教育网都能通过IPv6连接 Google 全球网络呢,照你这么说教育网用户都有能力生成用于中间人攻击的证书了。
    jasontse
        37
    jasontse  
       2014-06-18 09:34:30 +08:00 via iPad
    @lehui99 你好像理解错了,我只是说北京谷歌自己的"黑科技",跟 SSL 没有关系。
    Shieffan
        38
    Shieffan  
       2014-06-18 09:39:04 +08:00
    @jasontse "因为他们持有你的私钥", 什么意思呢? CNNIC怎么会有我的私钥?
    jasontse
        39
    jasontse  
       2014-06-18 09:46:47 +08:00 via iPad
    @Shieffan
    CA 在签证书给你的过程中可能保存了私钥。
    Shieffan
        40
    Shieffan  
       2014-06-18 09:50:12 +08:00
    @jasontse 开玩笑,找CA签证书签的又不是我的私钥,哪个业余的运维会把私钥提交给CA。。。
    JTR
        41
    JTR  
       2014-06-18 09:51:01 +08:00   ❤️ 1
    用户群果然变了 相信cnnic的也出现了
    jasontse
        42
    jasontse  
       2014-06-18 09:53:27 +08:00 via iPad
    @Shieffan 可是就是有人把私钥也交给 CA 生成
    jasontse
        43
    jasontse  
       2014-06-18 09:59:03 +08:00 via iPad
    很多国内的 CA 代理商是私钥和 CSR 包办的,这种漏洞应该会出现在很多小网站上。
    Shieffan
        44
    Shieffan  
       2014-06-18 10:00:38 +08:00
    @jasontse 额,国内的一些ssl reseller好像还真有不少提供这种”全套“服务的。

    不过我觉得如果网站的运维都到了这个水平还搞个毛的SSL啊,估计网站早就万人骑了,加个SSL也只是找点儿心理安慰吧。
    jasontse
        45
    jasontse  
       2014-06-18 10:02:09 +08:00 via iPad
    还有大家申请 StartSSL 的时候也要注意,网上绝大部分教程都是直接在 StartSSL 网站上搞定一切。CSR 什么的完全不管,私钥的密码也是交给 StartSSL 来去除。
    jerryjhou
        46
    jerryjhou  
       2014-06-18 10:44:34 +08:00 via Android
    @efi 删掉那个HTTPS的网站有极高几率进不去
    notcome
        47
    notcome  
       2014-06-18 15:35:15 +08:00
    难道 CNNIC 开启中间人攻击能被大规模检测到嘛……
    notcome
        48
    notcome  
       2014-06-18 15:35:47 +08:00
    @jasontse 不是很懂,谷歌北京的机房无墙……?
    JoyNeop
        49
    JoyNeop  
       2014-06-19 13:58:45 +08:00
    美国之外的 CA 不信任,受美国政府控制的 CA 不信任,就这么简单。
    Cu635
        50
    Cu635  
       2014-11-20 17:12:37 +08:00
    不好意思挖个坟。我今天才发现firefox已经不再信任cnnic证书了。

    确实,firefox还带着cnnic root,但是把它的三个功能都给禁止了。我自己修改信任还是在cnnic这事儿刚刚出来的时候,后来重新装过一次系统却把这事儿给忘了。

    所以说lz说的“cnnic一直被信任”不成立。
    ejin
        51
    ejin  
    OP
       2014-11-21 08:46:22 +08:00
    @Cu635 哥们你逗我玩呢,被你这样一说,我马上去下载了一个Firefox 33.1.1,什么都不改直接打开设置看,为什么我的不是三个功能都被禁止了?是不是你自己禁止的?或者你的Firefox是在哪下载的?或者我下载的和你下载的不是同一个Firefox?

    建议你卸载干净,全新安装!再看看是不是你说的那样!这是Firefox的下载地址,认准了https防劫持下载地址

    https://download.mozilla.org/?product=firefox-33.1.1-SSL&os=win&lang=zh-CN

    这是截图

    hahafofo
        52
    hahafofo  
       2015-03-24 13:56:05 +08:00
    http://www.solidot.org/story?sid=43434 最后还是悲剧了,cnnic终于发大招了
    hahafofo
        53
    hahafofo  
       2015-03-24 13:56:25 +08:00
    @hahafofo CNNIC发行的中级CA发行了Google的假证书
    ejin
        54
    ejin  
    OP
       2015-04-08 15:51:53 +08:00
    @hahafofo “CNNIC发行的中级CA发行了Google的假证书”

    这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。

    至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3119 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:38 · PVG 21:38 · LAX 05:38 · JFK 08:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.