简体 - 正體 - 手機版 - 電子報

人民報 
首頁 要聞 內幕 時事 幽默 國際 奇聞 災禍 萬象 生活 文化 專題 寰宇 維權 視頻 雜談
 
 
 
 
 

CNNIC CA──最最最嚴重安全警告!
 
網文
 
【人民報消息】由 WCM 於 星期一, 2010-02-01 20:00 發表

各位,雖然此事與 AutoProxy 無關,但它對所有(也包括 AutoProxy)用戶都是一個非常嚴重的安全威脅。我,WCM,AutoProxy 作者,以個人名譽強烈建議您認真閱讀並採取措施。

背景知識

網上傳輸的任何信息都有可能被惡意截獲。儘管如此,我們仍然在網上保存着很多重要的資料,比如私人郵件、銀行交易。這是因爲,有一個叫着 SSL/TLS/HTTPS 的東西在保障我們的信息安全,它將我們和網站服務器的通信加密起來。

如果網站覺得它的用戶資料很敏感,打算使用 SSL/TLS/HTTPS 加密,必須先向有 CA (Certificate Authority) 權限的公司/組織申請一個證書。有 CA 權限的公司/組織都是經過全球審覈,值得信賴的。

發生了什麼事

最近,CNNIC--對,就是那個臭名昭著的利用系統漏洞發佈流氓軟件的、就是那個使勁忽悠 CN 域名又突然停止域名解析的 CNNIC (中國互聯網絡信息中心),它--偷偷地獲得了 CA 權限!在所有中文用戶被隱瞞的情況下!

意味着什麼

意味着 CNNIC 可以隨意造一個假的證書給任何網站,替換網站真正的證書,從而盜取我們的任何資料!

這就是傳說中的 SSL MITM 攻擊。以前這個攻擊不重要是因爲攻擊的證書是假的,瀏覽器會告訴我們真相;現在,因爲 CNNIC 有了 CA 權限,瀏覽器對它的證書完全信任,不會給我們任何警告,即使是造假的證書!

你信任 CNNIC (中國互聯網絡信息中心) 嗎?你相信它有了權限,會安守本分,不會偷偷地幹壞事嗎?

我對此有3個疑問:

1. 某 party 對 GMail 興趣濃厚,GFW 苦練 SSL 內功多年,無大進展。如今有了 CA,若 GFW 令下,CNNIC 敢不從否?
2. CNNIC 當年利用所謂官方頭銜,制流氓軟件禍害網民。如今有了 CA,如何相信它不會故伎重演?
3. 爲了得到指定網站的合法證書,其它流氓公司拋出錢權交易,面對誘惑,CNNIC 是否有足夠的職業操守?

影響範圍

基本上所有瀏覽器的所有用戶均受影響!

行動第一步:立即安全防禦

在此只介紹 Firefox 瀏覽器的防禦方法,其它瀏覽器的用戶請自行 Google,原理類似。

* 菜單欄:工具/編輯->首選項->高級->加密->查看證書->證書機構(Authorites)
* 這是一個很長的列表,按照字母順序,你應該能找到一個叫着 "CNNIC ROOT" 的記錄,就是這個東西,告訴 Firefox,我們不信任它!
* 選中 CNNIC ROOT,點擊下面的「編輯」按鈕,彈出一個框,應該有3個選項,把所有選項的勾都去掉!保存。
* 還沒有完,狡兔有三窟。
* 接着往下找,有一個叫着 Entrust.net 的組,這個組裏應該有一個 "CNNIC SSL" (如果沒有,訪問一下 這個網站 就有了)
* 別急着下手,這回情況不一樣,這個證書是 Entrust 簽名的。我們信任 Entrust,Entrust 說它信任 CNNIC,所以我們就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 這一條,同上面一樣,把3個選項的勾都去掉,保存(提示:取消了對 Entrust 的信任以後,可能會沒法打開它簽名的某些正常網站。至於哪個網站用了它的簽名,隨便試了一下,沒找到例子)。
* 最後,讓我們驗證一下。重啓 Firefox,打開 這個 和 這個 網站,如果Firefox 對這兩個網站都給出了安全警告,而非正常瀏覽,恭喜,您已經擺脫了 CNNIC CA 的安全威脅!

行動第二步:治標還需治本

幾天前聽到這個消息的時候,我簡單地、輕蔑地將 CNNIC 刪除了事。可是這個週末,我忽然覺得這樣很不好。因爲只要它存在,始終會有大部份的用戶受到威脅。和寫 AutoProxy 時同樣的想法:如果大部份人都處於安全威脅當中,一個人苟且偷安又有什麼意義?如果不能將自由與安全的門檻降低一點點,所謂的技術又有什麼好僥倖的?

所以我呼籲大家,貢獻一點時間和知識,團結起來說服各瀏覽器取消 CNNIC 的 CA 權限。這種事不可能有公司來推動,只有我們社區。

首先推薦的是 Firefox,作爲一個公益組織 Mozilla 的決策過程更爲開放、更願意聽取社區的聲音。Bug 476766 記錄了事件的全過程。Bug 542689 和 Mozilla.dev.security.policy 進行着現在的討論(注意,你可以把自己添加到 Bugzilla 的 CC List 以表達你對此事的關切。但是不要隨便說一些不靠譜的話,免遭討厭。強調政治、GFW 的之類的不管用,必須就事論事。比如它在申請過程中採取欺騙、隱瞞的手段,或者申請成功後的某些行爲違反了 Mozilla 的 CA 政策;比如它的屬性和過往行爲表明它不會忠於自己的職責,而(幫助)做出 MITM 這種 CA 共憤的事情)。

其次是 Entrust,它說它信任,導致了我們也被迫信任 CNNIC SSL。不妨 告訴 Entrust 此事很嚴重,因爲它錯誤地信任了 CNNIC,大量用戶不得不刪除它的 CA。如果能找到使用 Entrust 證書的網站更好。給這些網站寫信,因爲此次事件我們不得不刪除了 Entrust 的 CA,請求他們另選別家認證。如果反響強烈,勢必給 Entrust 造成很大壓力。

除此之外,來投個票吧(結果統計)!

最後,強烈建議大家,發現證書警告的時候最好直接關掉,不要輕易添加例外。證書的信任體系是一級依賴一級的,一不小心你可能就會連帶信任一個不想信任的 CA。上面用於驗證的兩個網站,不妨定期(每週/每月)測一測,如果哪天你發現其中的任何一個網站沒有證書警告,就要注意了!

各位:DNS 劫持已然成爲常態,不要讓 SSL 劫持再次普及!此事剛剛發佈,尚有評議空間。待時間流逝,你我皆成溫水中之青蛙!

文章網址: http://www.renminbao.com/rmb/articles/2010/2/4/51882.html
打印機版

如果您喜歡本文章,歡迎捐款和支持!

 
              


分享至: Facebook Twitter Google+ LinkedIn StumbleUpon Pinterest Email 打印機版
 
 

 
 
相關文章
 
更多文章導讀
 
 
 

1. 瑞典外長:谷歌中國風波凸現網絡大戰(視頻) (63,708次)

2. 香港五區總辭起義 中共暴跳(視頻) (63,411次)

3. 大災難啊!三聚氰胺捲土重來(視頻) (61,828次)

4. 春晚最不受歡迎演員 趙本山奪冠(視頻) (61,024次)

5. 人大畢業生豪捐耶魯 巨大沖擊中共(視頻) (59,202次)

6. 《趙紫陽還說過甚麼》出書祕辛(視頻) (55,739次)

薄熙來想幹麼!遭文強「潛規則」的女明星竟是男人(多圖)
7. 薄熙來想幹麼!遭文強「潛規則」的女明星竟是男人(多圖) (49,523次)

實拍!黨媽媽在新華網賣淫(多圖)
8. 實拍!黨媽媽在新華網賣淫(多圖) (49,509次)

江綿恆在胡面前從來沒這樣笑過(多圖)
9. 江綿恆在胡面前從來沒這樣笑過(多圖) (48,238次)

絕無僅有!薄熙來的新語錄震驚世界(多圖)
10. 絕無僅有!薄熙來的新語錄震驚世界(多圖) (47,482次)

11. 江的絕密被李長春抖落出來了 (46,156次)

老江衰到家!小胡把宋祖英噁心成這樣(圖)
12. 老江衰到家!小胡把宋祖英噁心成這樣(圖) (44,861次)

八成已遭不測!高智晟曾以「唱紅」維持生命(圖)
13. 八成已遭不測!高智晟曾以「唱紅」維持生命(圖) (41,699次)

震驚!折騰半天…文強沒犯多大事兒(圖)
14. 震驚!折騰半天…文強沒犯多大事兒(圖) (39,791次)

宋祖英居首!中共發佈演藝名人道德修養榜(圖)
15. 宋祖英居首!中共發佈演藝名人道德修養榜(圖) (39,641次)

新華網的圖片新聞讓人驚了兩驚(多圖)
16. 新華網的圖片新聞讓人驚了兩驚(多圖) (39,592次)

老江要是遇到這位日本新聞女主播…(多圖)
17. 老江要是遇到這位日本新聞女主播…(多圖) (39,566次)

機率爲百億分之一和萬億分之一的奇聞(圖)
18. 機率爲百億分之一和萬億分之一的奇聞(圖) (38,532次)

19. 周永康,你老婆喊你跟她一起回家(圖) (37,264次)

20. 維基百科新詞條:非法獻花(多圖) (37,011次)

谷歌一挺腰…中共高位截了癱(圖)
21. 谷歌一挺腰…中共高位截了癱(圖) (35,828次)

難以置信的圖片!事發機率億萬分之一(圖)
22. 難以置信的圖片!事發機率億萬分之一(圖) (35,747次)

這個圖片新聞揭示背後有故事(圖)
23. 這個圖片新聞揭示背後有故事(圖) (35,111次)

24. 面對國際鏡頭 中共衛生副部長不否認活摘器官(圖) (34,192次)

新紀元:逮捕江澤民(多圖)
25. 新紀元:逮捕江澤民(多圖) (33,946次)

內幕驚人!龔如心家屬還沒到哭的時候(多圖)
26. 內幕驚人!龔如心家屬還沒到哭的時候(多圖) (33,892次)

小笑話:希望境外黑客經常來黑(圖)
27. 小笑話:希望境外黑客經常來黑(圖) (33,830次)

新華網頭條!衆黨官擺的姿勢曝出大新聞(多圖)
28. 新華網頭條!衆黨官擺的姿勢曝出大新聞(多圖) (33,820次)

中共在石家莊形勢嚴重(圖)
29. 中共在石家莊形勢嚴重(圖) (33,305次)

30. 港首曾蔭權當起了中共間諜 (33,234次)

被認定影射政治局 韓寒雜誌首期封面被斃(圖)
31. 被認定影射政治局 韓寒雜誌首期封面被斃(圖) (32,999次)

十大奇異雲彩:雨幡洞雲似巨大水母(多圖)
32. 十大奇異雲彩:雨幡洞雲似巨大水母(多圖) (31,768次)

烏拉圭上空出現奇妙「滾軸雲」景象(圖)
33. 烏拉圭上空出現奇妙「滾軸雲」景象(圖) (30,826次)

「機遇號」發現奇特火星岩石(圖)
34. 「機遇號」發現奇特火星岩石(圖) (30,549次)

小笑話:「我」怎麼向谷歌妥協(圖)
35. 小笑話:「我」怎麼向谷歌妥協(圖) (30,160次)

 
本報記者
 
 
專欄作者
首頁 要聞 內幕 時事 幽默 國際 奇聞 災禍 萬象 生活 文化 專題 寰宇 維權 視頻 雜談
 
 
Copyright© renminbao.com. All Rights Reserved