V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hatcloud
V2EX  ›  SSL

防止被中间人攻击: CNNIC 证书的清除方法 - 月光博客

  •  1
     
  •   hatcloud · 2015-01-27 14:11:40 +08:00 · 16931 次点击
    这是一个创建于 3585 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.williamlong.info/archives/4125.html

    防止被中间人攻击。
    不知道有人发过没有,不过这东西多发几次还是好的。
    53 条回复    2015-03-30 17:53:26 +08:00
    geeklian
        1
    geeklian  
       2015-01-27 14:19:42 +08:00 via iPhone   ❤️ 1
    没证据表明cnnic和wosign和cfca被用于中间人工具吧。

    加到不信任后,偶尔有些网站还是挺麻烦的
    hatcloud
        2
    hatcloud  
    OP
       2015-01-27 14:22:26 +08:00
    @geeklian 算是给大家提个醒吧,以后要是真出事了,也能大概能猜到怎么回事
    wzxjohn
        3
    wzxjohn  
       2015-01-27 14:30:21 +08:00 via iPhone   ❤️ 1
    万年老坟。
    加进去之后惊喜发现国内一堆网站打不开哈哈哈哈。
    ck65
        4
    ck65  
       2015-01-27 14:31:14 +08:00
    编程随想的这个「俺」用得一个登堂入室
    lhbc
        5
    lhbc  
       2015-01-27 14:35:28 +08:00
    未到重要关头,应该不会动用 CNNIC CA 去签发证书
    要逃过全世界的眼睛几乎是不可能的,而且一经发现,肯定是全世界所有 OS、浏览器等相关厂商紧急发布补丁禁用 CNNIC CA
    benbob
        6
    benbob  
       2015-01-27 16:05:52 +08:00 via iPhone
    这个有什么用,什么是cnnic
    kbs
        7
    kbs  
       2015-01-27 16:14:07 +08:00
    @wzxjohn 目前为止,未发现任何网站由于CNNIC证书问题打不开。
    很好奇那些网站和商业信誉度极低的CNNIC合作
    wzxjohn
        8
    wzxjohn  
       2015-01-27 16:16:04 +08:00 via iPhone
    @kbs 试试国服战网,国内 Azure ~
    EPr2hh6LADQWqRVH
        9
    EPr2hh6LADQWqRVH  
       2015-01-27 16:23:48 +08:00   ❤️ 5
    CNNIC是个管理机构,有个鸡毛商业信誉
    像我司这种国企,完全就是因为CNNIC的证书有发票才买CNNIC的,并且符合IT资源国产化的趋势要求。
    可是很多安卓手机都用不了,因为ROM里没有CNNIC的CA
    这个时候你不和世界接轨了,全世界都信任CNNIC的CA你不信任
    我不知道为什么,脑子锈了么

    感性上觉得TG不值得信任,然后就把似乎和TG有点关系的玩意妥妥拉黑,不管这个东西是啥有什么作用

    Naive啊
    痛心啊
    遗憾啊
    中国还要多少年才能开启民智啊
    JamesRuan
        10
    JamesRuan  
       2015-01-27 16:29:41 +08:00   ❤️ 2
    @avastms 信任不信任本来就是很私人的问题好不?随便说人家脑子锈了这样真的好吗?
    xfspace
        11
    xfspace  
       2015-01-27 19:31:15 +08:00
    加了不信任就是个坑。。。
    我把SRCA加了不信任。。。尼玛12306都不给进了。。。
    aveline
        12
    aveline  
       2015-01-27 19:37:58 +08:00
    yksoft1
        13
    yksoft1  
       2015-01-27 19:39:37 +08:00
    我编译的firefox都是certdata.txt里去掉CNNIC的
    wy315700
        14
    wy315700  
       2015-01-27 21:31:03 +08:00   ❤️ 1
    @lhbc 但是很多人就是不信。。。。
    zjgood
        15
    zjgood  
       2015-01-27 22:16:50 +08:00 via Android   ❤️ 1
    那就把全部都删了吧,这个世界连自己都不能信任,更何谈别人?我们都还在自己的梦中,死亡或许就是醒来,不要相信梦中的一切。
    c742435
        16
    c742435  
       2015-01-27 22:30:33 +08:00
    这个真的没必要去掉。
    全世界的眼睛都盯着,一旦有一个CNNIC签署的假证书被人截获,这个CA妥妥的就完蛋操了。
    不管多无耻,只要精神正常 是不会动用他的。
    muzuiget
        17
    muzuiget  
       2015-01-27 22:41:50 +08:00
    还以为有啥新东西,想不到月光博客现在沦落到挖别人的万年老坟了。
    013231
        18
    013231  
       2015-01-27 22:58:53 +08:00
    @lhbc
    @c742435
    可以针对特定人士使用, 不一定要面对全世界的眼睛.
    lhbc
        19
    lhbc  
       2015-01-27 23:50:39 +08:00
    @013231 这个级别的,没有 GPG 怎么活
    wdlth
        20
    wdlth  
       2015-01-28 00:32:43 +08:00
    整天盯着CNNIC的破证书,我倒想看看用CNNIC EV SSL签发的www.google.com是怎么个效果……
    zxtasa
        21
    zxtasa  
       2015-01-28 00:34:54 +08:00
    以前也没有证据表明gfw会用随机真实ip污染域名
    不过不太可能动用cnnic发证书大规模使用,但不排除针对小部分人群搞这个
    zxtasa
        22
    zxtasa  
       2015-01-28 00:36:35 +08:00
    @c742435 但是这么搞了之后及其不容易被发现
    efi
        23
    efi  
       2015-01-28 01:52:35 +08:00   ❤️ 2
    防止被中间人攻击: Verisign 证书的清除方法
    xieyudi1990
        24
    xieyudi1990  
       2015-01-28 05:17:44 +08:00 via iPhone
    xoxo
        25
    xoxo  
       2015-01-28 09:35:39 +08:00
    不知道怎么把CNNIC SSL跟中间人攻击划上等号的.
    能举证么?
    c742435
        26
    c742435  
       2015-01-28 10:36:06 +08:00
    @zxtasa
    @013231
    除非能针对指定个人。在极其有限的时间内攻击,还要确保那个人没有删掉cnnic
    c742435
        27
    c742435  
       2015-01-28 10:41:54 +08:00
    @013231 说实话 这么有针对性地攻击,其他的方法多得是。何必动用cnnic。
    都能定位到个人了,能不能物理接触他的电脑?能接触的话想装什么根证书就装什么根证书。
    不能物理接触电脑,不能通过漏洞或社工远程植入木马,你怎么针对特定人士使用假证书?
    wy315700
        28
    wy315700  
       2015-01-28 10:46:58 +08:00
    @xoxo
    @c742435
    就是一群人在瞎想。
    sincway
        29
    sincway  
       2015-01-28 12:19:43 +08:00 via iPhone   ❤️ 1
    @wdlth Chrome 还是会提示证书错误的,Google 说过非特定几个 CA(VeriSign 等)签发的 Google 域名证书仍然认为无效
    013231
        30
    013231  
       2015-01-28 12:40:19 +08:00
    @c742435 中间人攻击哪用物理接触.
    c742435
        31
    c742435  
       2015-02-04 13:40:54 +08:00
    @sincway 那个应该是浏览器特殊处理了。要喜欢你也可以干掉所有根ca然后手动为你信任的签名添加例外啊。
    c742435
        32
    c742435  
       2015-02-04 13:41:22 +08:00
    @013231 物理接触安装根证书。
    rainy3636
        33
    rainy3636  
       2015-03-24 16:34:42 +08:00
    喜闻乐见一下好了
    noah1987
        34
    noah1987  
       2015-03-24 16:54:41 +08:00
    发生了。
    justsoso
        35
    justsoso  
       2015-03-24 18:01:41 +08:00
    喜闻乐见


    Naive啊
    痛心啊
    遗憾啊
    中国还要多少年才能开启民智啊
    duanyu47
        36
    duanyu47  
       2015-03-24 19:06:12 +08:00 via Android
    一帮给权贵统治者辩护的走狗,傻了吧
    hatcloud
        37
    hatcloud  
    OP
       2015-03-24 19:42:43 +08:00
    @noah1987 发生啥了,怎么突然挖我坟
    lincanbin
        38
    lincanbin  
       2015-03-24 20:03:36 +08:00
    @hatcloud
    吃我一记洛阳铲
    https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/

    CNNIC发证书用于中间人攻击被谷歌逮到了。
    msxcms
        39
    msxcms  
       2015-03-24 20:40:39 +08:00
    经典打脸
    haquasaiku
        40
    haquasaiku  
       2015-03-24 21:19:27 +08:00
    @avastms 快快开启民智
    Khlieb
        41
    Khlieb  
       2015-03-24 22:06:41 +08:00
    @avastms 惟欲开启民智,则必须突破一☭砖政
    bugmenott
        42
    bugmenott  
       2015-03-24 23:13:46 +08:00 via iPhone
    @avastms naive啊
    daniel1024
        43
    daniel1024  
       2015-03-24 23:59:40 +08:00
    哈哈,吃我一记洛阳铲
    qdwang
        44
    qdwang  
       2015-03-25 00:33:16 +08:00 via Android
    一波流速推
    kofip
        45
    kofip  
       2015-03-25 01:08:09 +08:00
    哈哈,吃我一记洛阳铲
    kofip
        46
    kofip  
       2015-03-25 01:09:39 +08:00
    @avastms Naive啊
    痛心啊
    遗憾啊
    中国还要多少年才能开启民智啊
    EPr2hh6LADQWqRVH
        47
    EPr2hh6LADQWqRVH  
       2015-03-25 01:32:48 +08:00   ❤️ 1
    这么多人@我干毛
    在自己浏览器里吊销CNNIC的证书是不是有种向全世界声明
    `窝谨在此声明窝不承认中华人民共和国中央人民政府是中华人民共和国合法政府`
    的无聊快感?

    就事论事,一个中级根滥发,该涨保险费涨保险费,该赔钱赔钱,该道歉道歉,
    党国监视你干毛,你身上有啥情报,你值多少钱
    监视你又怎么地了,大街上那么多摄像头怎么没见你有意见?
    你的钱都实名存在党国的银行里,怎么也没见你有意见?

    翻个墙就以为自己颠覆国家啦,上个非死不可就推进皿煮啦,fo了几个喷子就迈入高华行列啦?

    还不是更加印证我前几个月说的话吗,争点气好吗,别@我了
    geeti
        48
    geeti  
       2015-03-25 04:04:17 +08:00
    呵呵
    Epsil0n9
        49
    Epsil0n9  
       2015-03-25 05:24:15 +08:00
    @kofip 砖政当然要阻止开启民智,目测砖政还能守护愚民政策几千年,维护自己的利益小窝
    billwang
        50
    billwang  
       2015-03-25 13:06:33 +08:00
    过来围观前几楼打脸的。
    wswj
        51
    wswj  
       2015-03-28 20:00:06 +08:00
    @avastms naive
    Rorysky
        52
    Rorysky  
       2015-03-28 20:31:29 +08:00
    喜欢看打脸
    seamon
        53
    seamon  
       2015-03-30 17:53:26 +08:00
    @avastms 本来不想@的,看了你这么屌的回复,再@一下。

    我就喜欢打别人脸,特别是脑子被洗得白白的小朋友脸。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5391 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:26 · PVG 15:26 · LAX 23:26 · JFK 02:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.