查看: 8317|回复: 13
收起左侧

[其他] CNNIC证书?功夫王?其实功夫王一直在你眼皮底下

[复制链接]
东夷少女
头像被屏蔽
发表于 2015-4-3 17:27:58 | 显示全部楼层 |阅读模式
前言:今天网上看到此贴后,好奇,于是自己用了其方法看了下电脑,果然有CNNIC 打头的文件,突感菊花一紧,原来功夫王一直在我身边潜伏
★CNNIC是啥意思?
  鉴于CNNIC是本文的主角,而有些网友尚不清楚CNNIC为何物?顾而俺先要介绍一下它。
  CNNIC是如下几个洋文的缩写(China Internet Network Information Center)。中文叫“中国互联网信息中心”。通俗地说,就是在党国的领导下,对互联网进行管理的一个机构。关于它的权威解释,可以看“
这里”。

★什么是证书?
  “证书”洋文也叫“digital certificate”或“public key certificate”(专业的解释看“
这里”)。
  它是用来证明某某东西确实是某某东西的东西(是不是像绕口令?)。通俗地说,证书就好比例子里面的公章。通过公章,可以证明该介绍信确实是对应的公司发出的。
  理论上,人人都可以找个证书工具,自己做一个证书。那如何防止坏人自己制作证书出来骗人捏?请看后续CA的介绍。

★什么是CA?
  CA是 Certificate Authority的缩写,也叫“证书授权中心”。(专业的解释看“
这里”)
  它是负责管理和签发证书的第三方机构,就好比例子里面的中介——C公司。一般来说,CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司,才会找C公司作为公章的中介。

★什么是CA证书?
  CA证书,顾名思义,就是CA颁发的证书。
  前面已经说了,人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没啥用处的。因为你不是权威的CA机关,你自己搞的证书不具有权威性。


★ 那么CNNIC都干过哪些龌龊事呢?

◇长期发布流氓软件
  从很多年以前,CNNIC就开始推行中文上网软件。该软件不光是安装的时候悄无声息,而且卸载的时候无比困难。其常年占据流氓软件排行榜的三甲之列。很多网友对它深恶痛绝,到处寻找卸载良策。所以,你在google.com.hk里面输入cnnic,搜索框的10项自动提示里,有5项(一半)是关于卸载/专杀CNNIC中文上网软件的。


◇域名管理混乱
  前几年,大概是为了政绩,CNNIC开始疯狂追求cn域名的注册量,甚至不惜推出了一元钱注册域名的超低价。经过CNNIC的大力忽悠,注册数量果然上去了(cn成为全球注册量最大的国别域名)。但是CNNIC只求量不求质的行为,必然导致鱼龙混杂。很多骗子网站、钓鱼网站、挂马网站都用cn域名。(反正注册成本很低,打一枪换一个地方)

◇强行霸占域名
  CNNIC还经常对它看上的好域名强取豪夺。比如08年奥运会那会儿,CNNIC把国内奥运冠军的姓名拼音对应的域名强制收回(相关报道在“
这里”)。所以,如果你用自己的名字注册了cn域名,你就要开始祈祷了:今后别跟某个奥运冠军的名字一样(哪怕同音不同字,都会被强行收回哦)

◇禁止个人注册域名
  09年12月,CCTV在焦点访谈中,点名批评CNNIC对域名的监管不力,导致大量黄色网站利用cn域名逃避监管(其实 CCAV也不是啥好鸟,CCAV和CNNIC是狗咬狗的关系)。这下CNNIC可傻眼了,赶紧发出通知,要求注册cn域名要提供“企业营业执照公章”。这等于变相阻止个人注册域名。
  要知道,现在的cn域名注册量上千万,且80%是个人注册的。这些已经注册的域名咋办捏?面对记者的提问,CNNIC的某个家伙声称:“cn域名从未对个人开发注册”。
  这下,一大堆注册了cn域名的中小网站站长、个人博客博主也跟着傻眼了。为了避免个人域名被强行收回,大伙儿纷纷转投国外的com域名。某网友到CNNIC官方站点统计了上个月(2010年1月)的域名删除数量,在短短31天,就有117万域名注销掉了。以此相呼应,com域名的注册数,在2010年1月也猛涨。


◇政策朝令夕改
  前面说到CNNIC禁止个人注册域名。其实这招并不能完全杜绝国内的黄色网站,反而是败坏了国内域名注册市场,断了自己的财路。CNNIC的头头们,估计后来回过神来,把这道理想明白了。所以在不到一个月的时间内,赶紧又出台了另一个声明:“正在研究起草有关个人注册cn域名的方案,有望在一段时间后允许个人注册和持有cn域名”。但是民心已失,岂可轻易挽回?正如某网友对CNNIC的评论:“你叫我滚,我滚了;你叫我回来,对不起,已经滚远了。”
  作为一个知名的机构,在不到一个月的时间内,出台的政策前后有180度的大转变。这简直是把咱网民当白痴来糊弄,今后网友们岂能再相信它所说的一切?

★电脑中有了CNNIC的证书,  会出现啥鸟事捏?俺大概说一下。
◇“中间人攻击”的风险
  中间人攻击的风险,是最危险的,也是最经常被提及滴。
    俺在前面已经讲了CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)。如果老流氓   CNNIC成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后捏,再配合G{过}F{滤}W进行DNS的域名劫持。那G{过}F{滤}W就可以轻松搞定任何网站的   HTTPS加密传输。
  可能有些小朋友心里会犯嘀咕:功夫王会有这么坏吗?俺想借用鲁迅他老人家的一句话来回答:我向来是不惮以最坏的恶意,来推测d国的。功夫王和CNNIC作为d国的2条走狗,一起进行中间人攻击(一个负责DNS欺骗、一个负责伪造CA证书),简直是天生一 对、 黄金搭档啊!

  ◇ActiveX控件的风险
  另外一个大伙儿不太关注的风险,是关于ActiveX控件的问题。前几 年,很多   恶意软件(包括流氓软件、木马)都是通过IE控件的技术,安装到大伙儿的电脑上。后来微软加强了多ActiveX控件的验证:在IE的默认设置下,对于没   有数字签名的ActiveX控件,是拒绝安装滴;而对于有数字签名的控件,则会给出提示。
  因此,老流氓CNNIC可以很轻松地给自己的 ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。
★那么,该如何清除这个流氓证书?
本人浏览器是火狐,所以就用火狐来举例子
由于中国政府是不受民众监督的,CNNIC(中国互联网络信息中心)作为一个官方机构,曾经在网上和另一个流氓周鸿的3721
比谁更流氓,制作了另一个流氓软件“中文上网插件”,利用WINDOWS的安全漏洞,在许多中国用户在不知情的情况下安装了CNNIC的流氓软件。CNNIC也就是管理.CN域名的机构,他们胡乱管理CN域名,不仅把短域名内销给许多炒域名的商人,还把卖出去的域名非法吊销,如 bullog.cn 和 gongmeng.cn ,CNNIC和中国的其他政府机构一样,是完全没有信誉的,谁相信他们就是没长脑子或没长记性。哪知道,微软公司居然也没长记性,居然在WINDOWS根证书里把CNNIC加为一个CA了,这意味着,CNNIC可以颁发安全证书,使用微软的浏览器访问这样的网站里不会有任何安全警告

  现在,许多网友自发的开始杯葛微软的根证书了,下面我们来看看如何删除CNNIC的证书并把CNNIC放到不信任列表里。

1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第5步(其中CNNIC SSL非自带证书!):
CNNICROOT.crtCNNICSSL.crtEntrust.netSecureServerCertificationAuthority.crt

2、打开Firefox浏览器,工具(Tools)->选项(Options)->高级(Advanced)->加密 (Encryption)->查看证书(View Certificates)

3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项, 按导出(Export)(备份到本地),然后编辑(Edit),去除里面的三个勾选,然后单击确定(OK)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)

4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A2:43的)和”CNNIC SSL“证书,同样导出并去除勾选。(注:Entrust.net 这个也是验证CNNIC所用的证书)

5、打开开始菜单->运行(或者直接按Win-R)

6、输入certmgr.msc,打开Windows 的证书管理器。

7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项, 在”所有任务(All Tasks)“子菜单下单击”导入(Import)…“

8、分别找到刚才保存的三个证书,依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

pal家族
发表于 2015-4-3 17:44:33 | 显示全部楼层
这样真的好吗?虽然是大实话,但右下角感觉有必要啊~





















放心吧,啥也没干
学雷锋做人
发表于 2015-4-3 17:48:42 | 显示全部楼层
pal家族 发表于 2015-4-3 17:44
这样真的好吗?虽然是大实话,但右下角感觉有必要啊~

宪法赋予公民享有言论自由权,不违法违规即可
pal家族
发表于 2015-4-3 17:58:43 | 显示全部楼层
学雷锋做人 发表于 2015-4-3 17:48
宪法赋予公民享有言论自由权,不违法违规即可

我在开玩笑啊~~
QQ截图20150403175828.png
nightmares
发表于 2015-4-3 18:09:10 | 显示全部楼层
长见识了!
木木川
发表于 2015-4-15 14:02:01 | 显示全部楼层
删除cnnic证书后,暴雪的魔兽世界居然打不开了~~~只能又装上~~~
也是醉了~~~
不脱单不改名
发表于 2015-4-15 14:15:45 | 显示全部楼层
我删了火狐的,ie的留着吧,怕以后不兼容
天蓝色的忧伤
发表于 2015-4-16 19:00:51 来自手机 | 显示全部楼层
文字稍微有一点过激了,全球没有一台dns服务器在中国,但是有一半的dns服务器在美国,换而言之你要解析的地址大都要经过欧美,这只是对抗策略。不过确实对我们这些小平民很不公平
zhq445078388
发表于 2015-4-18 23:49:26 | 显示全部楼层
不让党国看了.只让艾美瑞肯看是吧?
772807886
发表于 2015-4-19 00:15:58 | 显示全部楼层
天蓝色的忧伤 发表于 2015-4-16 19:00
文字稍微有一点过激了,全球没有一台dns服务器在中国,但是有一半的dns服务器在美国,换而言之你要解析的地 ...

http://zh.wikipedia.org/wiki/%E6 ... D%E5%8B%99%E5%99%A8
多次污染影响到了世界互联网访问
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:12 , Processed in 0.142362 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表