你所不知道的CNNIC！！！

墨龙 · 发表于 2017-1-9 09:54:22

本帖最后由墨龙于 2017-1-9 10:11 编辑

什么CNNIC？
CNNIC是如下几个英文的缩写（China Internet Network Information Center）。中文叫“中国互联网信息中心”。通俗地说，就是在中央的领导下，对互联网进行管理的一个机构。CNNIC是中国互联网的说不清干什么的机构，也是合法的CA机构，可以颁发CA证书，上级主管部门是工信部。
什么是证书？
“证书”英文也叫“digital certificate”或“public key certificate”,就是你使用百度、Google搜索时，会发现地址栏是绿的，你登陆到蓝点网的后台，看下地址栏，也是绿色的。这代表该域名启用了HTTPS加密（SSL），使用HTTPS可以提高你使用互联网的安全性、加密你与服务器之间的通信内容，确保你与服务器的通讯数据不被他人窃取。
在这里我们还要提到“中间人攻击”，当前中间人攻击发生的频率已经越来越高，对于已经启用HTTPS的站点，如果该站点被中间人攻击，那么浏览器会显示红色的警告标志，提醒用户不要继续访问。
然而，现在越来越多中间人攻击开始伪造站点的SSL证书，企图来欺骗浏览器从而达到浏览器不报警。
但是这种情况成功实施的概率是小之又小，而一些通过“正规”手段获得的证书，却越来越多。
什么是CA？CA是 Certificate Authority的缩写，也叫“证书授权中心”。它是负责管理和签发证书的第三方机构，就好比例子里面的中介——C公司。一般来说，CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司，才会找C公司作为公章的中介。
什么是CA证书？
CA证书，顾名思义，就是CA颁发的证书。
前面已经说了，人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没什么用处的。因为你不是权威的CA机关，你自己搞的证书不具有权威性。
这里我们引入前几天发生的一个情况：
2015年的3月20日，Google官方博客称发现多个伪造Google域名的假证书，这些证书的颁发机构是中级CA机构–埃及的MCS。而MCS的中级证书则是由中国的CNNIC颁发，而CNNIC作为根CA被几乎所有的操作系统和浏览器所信任，这就导致了Google域名被劫持而浏览器不会发出报警信息，用户便陷入通信数据被窃取的勾当里。
Google联系CNNIC，CNNIC则回应称，中级CA MCS本应该只向它注册的域名发行证书，而在本次事件中，CNNIC向MCS颁发了一个无约束的中级证书，MCS将该证书安装在一个防火墙设备上充当中间人代理，用于执行加密拦截（SSL MITM）。
事后，Google称Chrome浏览器CRLSet更新，Chrome不需要做任何操作，浏览器会对该证书进行拦截。
而Mozilla也迅速回应，Mozilla发言人称，在Firefox 37中，将吊销MCS颁发所有的中级证书。
如果你看完上面觉得还是没明白这到底什么意思，那我们继续举例，以Google旗下邮箱服务Gmail为例：
Gmail网页版也就是http://mail.google.com，该网址使用的是Google自行颁发的证书，这些证书是被浏览器和操作系统信任的，如果你现在还能打开前面的网址，你可以看到地址栏是绿色的HTTPS标志。
众所周知Google、Gmail在中国都无法使用，但如果你可以访问的话，那么你也得注意，浏览器地址栏可能还是绿色的安全标志，但却不一定是真的安全。
上文中提到的由根CA机构CNNIC颁发的中级CA机构埃及MCS伪造的假证书中就有Gmail的，如果你当时访问Gmail，那么你的通信数据可能已经被全部截获。
而这份假证书，根CA是CNNIC，中级CA是MCS，如下图：

如果说到这里你还不明白这有什么问题的话，那我们直说：
CNNIC作为受信任的根CA，如果它愿意，它可以随便伪造国内外任何站点的SSL证书，配合*城防火墙DNS污染，它可以在国内发起对任何网站的中间人攻击、截获通信数据。
你以为它没干过？错了，已经干过了，MCS伪造证书这次就是最新的，之前干过的有兴趣你可以自己去搜索下。
so，我建议，在你的系统里清除CNNIC证书。
但是目前通过网上的清除方法，察觉出一个问题，我在我的电脑里以及浏览器中完全不能找到CNNIC的任何信息。不知道是原本就没有它还是说它隐藏在深处。网上的清除办法是先添加再放置不信任，可是原本没有添加完后，电脑里不就存在了吗？我也搞不懂应该怎样，但可以肯定的是它确实是一大隐患！！！

如有哪位虫友知道如何清除CNNIC，请分享与我们，让我们的电脑更加的安全。让我们的虫部落阵地更加坚实。

big · 发表于 2017-1-10 08:44:22

本帖最后由 tengke1992 于 2017-1-10 08:48 编辑

卡饭有专门的帖子，详见
http://bbs.kafan.cn/thread-1820135-1-1.html鉴于有些坛友可能没有账号，附件如下：

CNNIC 数字证书工具 1.2.zip (118.57 KB, 下载次数: 38)

screamnow · 发表于 2017-1-9 11:47:35

这个话题有点敏感啊。
我以前在月光博客看过清除方法的

七刀 · 发表于 2017-1-10 09:17:54

{:5_135:}可以肯定的是它确实是一大隐患！！！

enochzlz · 发表于 2017-1-10 09:37:07

google 是真的强感觉

四维战士 · 发表于 2017-1-10 09:59:26

在你的系统里面打了埋伏了。

酱油马 · 发表于 2017-1-11 08:48:22

不明觉厉

Avengers · 发表于 2017-1-12 19:11:42

清除 CNNIC 根证书（一）：CNNIC 根证书的危害
清除 CNNIC 根证书（二）：如何清理 CNNIC 根证书

狗子 · 发表于 2017-1-14 19:30:54

在这里都能碰见:lol

银河帆影 · 发表于 2017-1-16 19:56:37

Chrome不是早就删除CNNIC的证书了吗？

若小夕 · 发表于 2017-1-16 22:28:50

还有个沃根证书