Why?They might help to perform MITM attack to GMail and/or other accounts of Chinese users!!!
Because:
1.The Chinese go-vern-ment is highly interested in GMail, it might ask CNNIC to help to perform MITM attacks, CNNIC is totally controlled by the go-vern-ment;
2.CNNIC itself did notorious evil things before. They might do evil again (MITM) for their own purpose (for instance: get money from deceptive certification).
I'm a Firefox user,What should I do?
1.菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
2.这是一个很长的列表,按照字母顺序,你应该能找到一个叫"CNNIC ROOT"的记录,就是这个东西,告诉 Firefox,我们不信任它!
3.选中CNNIC ROOT,点击下面的"编辑"按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存.
4.还没有完,狡兔有三窟.
5.接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个"CNNIC SSL"
6.别急着下手,这回情况不一样,这个证书是 Entrust 签名的.我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了.找到"Entrust.net Secure Server Certification Authority"这一条,同上面一样,把3个选项的勾都去掉,保存(提示"取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站.至于哪个网站用了它的签名,随便试了一下,没找到例子.)
7.最后,让我们验证一下.重启 Firefox,打开一下两个网站.
CNNIC证书中心
十进制编码网址???
如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!
如果您有能力,可以去Mozilla 社区提出意见,如:CNNIC can not be trusted for anyone. I believe add the certificationto firefox must be mistake!或者去投个票吧.
最后,同学们,DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!
Comments