虫部落

你所不知道的CNNIC!!!

查看: 3495|回复: 10
墨龙 发表于 2017-1-9 09:54:22 |阅读模式
本帖最后由 墨龙 于 2017-1-9 10:11 编辑

什么CNNIC?
CNNIC是如下几个英文的缩写(China Internet Network Information Center)。中文叫“中国互联网信息中心”。通俗地说,就是在中央的领导下,对互联网进行管理的一个机构。CNNIC是中国互联网的说不清干什么的机构,也是合法的CA机构,可以颁发CA证书,上级主管部门是工信部。
什么是证书?
“证书”英文也叫“digital certificate”或“public key certificate”,就是你使用百度、Google搜索时,会发现地址栏是绿的,你登陆到蓝点网的后台,看下地址栏,也是绿色的。这代表该域名启用了HTTPS加密(SSL),使用HTTPS可以提高你使用互联网的安全性、加密你与服务器之间的通信内容,确保你与服务器的通讯数据不被他人窃取。
在这里我们还要提到“中间人攻击”,当前中间人攻击发生的频率已经越来越高,对于已经启用HTTPS的站点,如果该站点被中间人攻击,那么浏览器会显示红色的警告标志,提醒用户不要继续访问。
然而,现在越来越多中间人攻击开始伪造站点的SSL证书,企图来欺骗浏览器从而达到浏览器不报警。
但是这种情况成功实施的概率是小之又小,而一些通过“正规”手段获得的证书,却越来越多。
什么是CA?CA是 Certificate Authority的缩写,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构,就好比例子里面的中介——C公司。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司,才会找C公司作为公章的中介。
什么是CA证书?
CA证书,顾名思义,就是CA颁发的证书。
前面已经说了,人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没什么用处的。因为你不是权威的CA机关,你自己搞的证书不具有权威性。
这里我们引入前几天发生的一个情况:
2015年的3月20日,Google官方博客称发现多个伪造Google域名的假证书,这些证书的颁发机构是中级CA机构–埃及的MCS。而MCS的中级证书则是由中国的CNNIC颁发,而CNNIC作为根CA被几乎所有的操作系统和浏览器所信任,这就导致了Google域名被劫持而浏览器不会发出报警信息,用户便陷入通信数据被窃取的勾当里。
Google联系CNNIC,CNNIC则回应称,中级CA MCS本应该只向它注册的域名发行证书,而在本次事件中,CNNIC向MCS颁发了一个无约束的中级证书,MCS将该证书安装在一个防火墙设备上充当中间人代理,用于执行加密拦截(SSL MITM)。
事后,Google称Chrome浏览器CRLSet更新,Chrome不需要做任何操作,浏览器会对该证书进行拦截。
而Mozilla也迅速回应,Mozilla发言人称,在Firefox 37中,将吊销MCS颁发所有的中级证书。
如果你看完上面觉得还是没明白这到底什么意思,那我们继续举例,以Google旗下邮箱服务Gmail为例:
Gmail网页版也就是http://mail.google.com,该网址使用的是Google自行颁发的证书,这些证书是被浏览器和操作系统信任的,如果你现在还能打开前面的网址,你可以看到地址栏是绿色的HTTPS标志。
众所周知Google、Gmail在中国都无法使用,但如果你可以访问的话,那么你也得注意,浏览器地址栏可能还是绿色的安全标志,但却不一定是真的安全。
上文中提到的由根CA机构CNNIC颁发的中级CA机构埃及MCS伪造的假证书中就有Gmail的,如果你当时访问Gmail,那么你的通信数据可能已经被全部截获。
而这份假证书,根CA是CNNIC,中级CA是MCS,如下图:

如果说到这里你还不明白这有什么问题的话,那我们直说:
CNNIC作为受信任的根CA,如果它愿意,它可以随便伪造国内外任何站点的SSL证书,配合*城防火墙DNS污染,它可以在国内发起对任何网站的中间人攻击、截获通信数据。
你以为它没干过?错了,已经干过了,MCS伪造证书这次就是最新的,之前干过的有兴趣你可以自己去搜索下。
so,我建议,在你的系统里清除CNNIC证书。
但是目前通过网上的清除方法,察觉出一个问题,我在我的电脑里以及浏览器中完全不能找到CNNIC的任何信息。不知道是原本就没有它还是说它隐藏在深处。网上的清除办法是先添加再放置不信任,可是原本没有添加完后,电脑里不就存在了吗?我也搞不懂应该怎样,但可以肯定的是它确实是一大隐患!!!

如有哪位虫友知道如何清除CNNIC,请分享与我们,让我们的电脑更加的安全。让我们的虫部落阵地更加坚实。

tengke1992 发表于 2017-1-10 08:44:22
本帖最后由 tengke1992 于 2017-1-10 08:48 编辑

卡饭有专门的帖子,详见
http://bbs.kafan.cn/thread-1820135-1-1.html鉴于有些坛友可能没有账号,附件如下: CNNIC 数字证书工具 1.2.zip (118.57 KB, 下载次数: 38)
screamnow 发表于 2017-1-9 11:47:35
这个话题有点敏感啊。
我以前在月光博客看过清除方法的

七刀 发表于 2017-1-10 09:17:54
可以肯定的是它确实是一大隐患!!!
enochzlz 发表于 2017-1-10 09:37:07
google 是真的强感觉
四维战士 发表于 2017-1-10 09:59:26
在你的系统里面打了埋伏了。
酱油马 发表于 2017-1-11 08:48:22
不明觉厉
Avengers 发表于 2017-1-12 19:11:42
狗子 发表于 2017-1-14 19:30:54
在这里都能碰见:lol
银河帆影 发表于 2017-1-16 19:56:37
Chrome不是早就删除CNNIC的证书了吗?
缘恩网络 发表于 2017-1-16 22:28:50
还有个沃根证书
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表