谷歌对cnnic劣迹忍无可忍，痛下决心吊销其证书

本文由草根java提供,转载请注明出处https://www.caogenjava.com/detail/50.html

说这个事情之前，先简单说下，何为cnnic，贴上百度百科的链接：http://baike.baidu.com/view/42572.htm。通俗地说，就是在党国的领导下，对互联网进行管理的一个机构，或者叫他企业也行。反正在中国企业不企业，政府不政府已经是常态。对于这个新闻，我大天朝一如既往，大力和谐，大片的网页已经是404提示了，就笔者亲身经历来说，早上才收藏的一个链接，截止晚上发文此刻已经是打不开了。呵呵，我不得不说，我天朝万岁。

闲话不多说，看看事情的经过。以下是从幸存的网页上摘录过来的，仅供参考。

3月20日

谷歌发布声明称已发现一批假证书，而埃及MCS和CNNIC都被点名，指出埃及MCSHolding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。

3月25日

CNNIC发表相关声明，表示未发布用于中间人攻击的证书，并且已于3月22日撤销对MCS公司的业务授权。

Chrome和火狐吊销CNNIC根证书，这不是愚人节玩笑

4月1日

谷歌在博客上表示，决定不再信任由中国互联网络信息中心(CNNIC)发放的网站安全信任证书。

4月2日

CNNIC发布声明，对谷歌做出的决定表示“难以理解和接受”，并表示会敦促谷歌“充分考虑和保障用户权益”。与此同时，CNNIC还给原有用户打了包票，声称会维护他们的权益。

Chrome和火狐吊销CNNIC根证书，这不是愚人节玩笑

4月3日

Mozilla也加入谷歌阵营，在官方博客上宣布，本身也将吊销CNNIC的根证书。

目前据arstechnica的最新消息称，Mozilla表示它们在短时间内将暂时继续信任CNNIC的证书，如果后者能在限定期限内尽快解决这一问题的话，它们会考虑撤销这一决定。

Chrome和火狐吊销CNNIC根证书，这不是愚人节玩笑

值得一提的是，尽管昨日不少中文资讯网站都对谷歌一事予以报道，但今日小编却只发现了满屏的404，你们懂的，另外关于此事的原因，想深入了解的读者可以阅读这篇文章，具体讲的什么，我们也不便多提。

以上便是此次事件的大体经过，事件一出，cnnic表示自己很冤啊，呵呵，一直是这幅嘴脸。

吊销证书意味着什么？看以下说明。

★什么是证书？
　　“证书”洋文也叫“digital certificate”或“public key certificate”（专业的解释看“这里”）。
　　它是用来证明某某东西确实是某某东西的东西（是不是像绕口令？）。通俗地说，证书就好比例子里面的公章。通过公章，可以证明该介绍信确实是对应的公司发出的。
　　理论上，人人都可以找个证书工具，自己做一个证书。那如何防止坏人自己制作证书出来骗人捏？请看后续CA的介绍。

★什么是CA？
　　CA是 Certificate Authority的缩写，也叫“证书授权中心”。（专业的解释看“这里”）
　　它是负责管理和签发证书的第三方机构，就好比例子里面的中介——C公司。一般来说，CA必须是所有行业和所有公众都信任的、认可的。因此它必须具有足够的权威性。就好比A、B两公司都必须信任C公司，才会找C公司作为公章的中介。

★什么是CA证书？
　　CA证书，顾名思义，就是CA颁发的证书。
　　前面已经说了，人人都可以找工具制作证书。但是你一个小破孩制作出来的证书是没啥用处的。因为你不是权威的CA机关，你自己搞的证书不具有权威性。
★ 那么CNNIC都干过哪些龌龊事呢？

◇长期发布流氓软件
　　从很多年以前，CNNIC就开始推行中文上网软件。该软件不光是安装的时候悄无声息，而且卸载的时候无比困难。其常年占据流氓软件排行榜的三甲之列。很多网友对它深恶痛绝，到处寻找卸载良策。所以，你在google.com.hk里面输入cnnic，搜索框的10项自动提示里，有5项（一半）是关于卸载/专杀CNNIC中文上网软件的
◇域名管理混乱
　　前几年，大概是为了政绩，CNNIC开始疯狂追求cn域名的注册量，甚至不惜推出了一元钱注册域名的超低价。经过CNNIC的大力忽悠，注册数量果然上去了（cn成为全球注册量最大的国别域名）。但是CNNIC只求量不求质的行为，必然导致鱼龙混杂。很多骗子网站、钓鱼网站、挂马网站都用cn域名。（反正注册成本很低，打一枪换一个地方）

◇强行霸占域名
　　CNNIC还经常对它看上的好域名强取豪夺。比如08年奥运会那会儿，CNNIC把国内奥运冠军的姓名拼音对应的域名强制收回（相关报道在“这里”）。所以，如果你用自己的名字注册了cn域名，你就要开始祈祷了：今后别跟某个奥运冠军的名字一样（哪怕同音不同字，都会被强行收回哦）

◇禁止个人注册域名
　　09年12月，CCTV在焦点访谈中，点名批评CNNIC对域名的监管不力，导致大量黄色网站利用cn域名逃避监管（其实 CCAV也不是啥好鸟，CCAV和CNNIC是狗咬狗的关系）。这下CNNIC可傻眼了，赶紧发出通知，要求注册cn域名要提供“企业营业执照公章”。这等于变相阻止个人注册域名。
　　要知道，现在的cn域名注册量上千万，且80%是个人注册的。这些已经注册的域名咋办捏？面对记者的提问，CNNIC的某个家伙声称：“cn域名从未对个人开发注册”。
　　这下，一大堆注册了cn域名的中小网站站长、个人博客博主也跟着傻眼了。为了避免个人域名被强行收回，大伙儿纷纷转投国外的com域名。某网友到CNNIC官方站点统计了上个月（2010年1月）的域名删除数量，在短短31天，就有117万域名注销掉了。以此相呼应，com域名的注册数，在2010年1月也猛涨。
◇政策朝令夕改
　　前面说到CNNIC禁止个人注册域名。其实这招并不能完全杜绝国内的黄色网站，反而是败坏了国内域名注册市场，断了自己的财路。CNNIC的头头们，估计后来回过神来，把这道理想明白了。所以在不到一个月的时间内，赶紧又出台了另一个声明：“正在研究起草有关个人注册cn域名的方案，有望在一段时间后允许个人注册和持有cn域名”。但是民心已失，岂可轻易挽回？正如某网友对CNNIC的评论：“你叫我滚，我滚了；你叫我回来，对不起，已经滚远了。”
　　作为一个知名的机构，在不到一个月的时间内，出台的政策前后有180度的大转变。这简直是把咱网民当白痴来糊弄，今后网友们岂能再相信它所说的一切？

★电脑中有了CNNIC的证书，  会出现啥鸟事捏？俺大概说一下。
◇“中间人攻击”的风险
　　中间人攻击的风险，是最危险的，也是最经常被提及滴。
　  　俺在前面已经讲了CA证书对于https协议的重要性（可以防止攻击者伪造虚假网站）。如果老流氓   CNNIC成为合法的CA，那它就能堂而皇之地制作并发布CA证书。然后捏，再配合GFW进行DNS的域名劫持。那GFW就可以轻松搞定任何网站的   HTTPS加密传输。
　　可能有些小朋友心里会犯嘀咕：GFW会有这么坏吗？俺想借用鲁迅他老人家的一句话来回答：我向来是不惮以最坏的恶意，来推测党国的。GFW和CNNIC作为党国的2条走狗，一起进行中间人攻击（一个负责DNS欺骗、一个负责伪造CA证书），简直是天生一 对、 黄金搭档啊！

　　◇ActiveX控件的风险
　　另外一个大伙儿不太关注的风险，是关于ActiveX控件的问题。前几 年，很多   恶意软件（包括流氓软件、木马）都是通过IE控件的技术，安装到大伙儿的电脑上。后来微软加强了多ActiveX控件的验证：在IE的默认设置下，对于没   有数字签名的ActiveX控件，是拒绝安装滴；而对于有数字签名的控件，则会给出提示。
　　因此，老流氓CNNIC可以很轻松地给自己的 ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示，多半没细看，直接就点了“确定”按钮。
★那么，该如何清除这个流氓证书？
本人浏览器是火狐，所以就用火狐来举例子
由于中国政府是不受民众监督的，CNNIC(中国互联网络信息中心)作为一个官方机构，曾经在网上和另一个流氓周鸿祎（现为360软件的老总）的3721（详情点击这里）比谁更流氓，制作了另一个流氓软件“中文上网插件”，利用WINDOWS的安全漏洞，在许多中国用户在不知情的情况下安装了CNNIC的流氓软件。CNNIC也就是管理.CN域名的机构，他们胡乱管理CN域名，不仅把短域名内销给许多炒域名的商人，还把卖出去的域名非法吊销，如 bullog.cn 和 gongmeng.cn ，CNNIC和中国的其他政府机构一样，是完全没有信誉的，谁相信他们就是没长脑子或没长记性。哪知道，微软公司居然也没长记性，居然在WINDOWS根证书里把CNNIC加为一个CA了，这意味着，CNNIC可以颁发安全证书，使用微软的浏览器访问这样的网站里不会有任何安全警告 ，例如 这个使用了CNNIC的的证书的网站 https://www.enum.cn/

  现在，许多网友自发的开始杯葛微软的根证书了，下面我们来看看如何删除CNNIC的证书并把CNNIC放到不信任列表里。

1、如果没有安装Firefox浏览器的3.6最新版，或者在下面的操作中没有找到相应的证书，可以从这里下载这三个证书，然后跳到第5步（其中CNNIC SSL非自带证书！）：CNNICROOT.crtCNNICSSL.crtEntrust.netSecureServerCertificationAuthority.crt

2、打开Firefox浏览器，工具(Tools)->选项(Options)->高级(Advanced)->加密 (Encryption)->查看证书(View Certificates)

3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项， 按导出(Export)（备份到本地），然后编辑(Edit)，去除里面的三个勾选，然后单击确定(OK)。（RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的，并不会将其删除。）

4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A2:43的)和”CNNIC SSL“证书，同样导出并去除勾选。（注：Entrust.net 这个也是验证CNNIC所用的证书）

5、打开开始菜单->运行（或者直接按Win-R）

6、输入certmgr.msc，打开Windows 的证书管理器。

7、展开”不受信任的证书(Untrusted Certificates)“，右键单击其下”证书(Certificates)“项， 在”所有任务(All Tasks)“子菜单下单击”导入(Import)…“

8、分别找到刚才保存的三个证书，依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。

9、将导入的证书复制(Ctrl-C)，然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中，然后在这个窗口中分别右键单击粘贴过来的3个证书，选择“属性(Properties)”，然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

写在最后：本站发表此类文章还是比较担心的，你懂得。草根java作为独立博客，不受第三方系统监管，无权更无法对我404，加上本站访客较少，暂时掀不起大风浪，和谐的力量应该还注意不到我，得此机会将本文奉献给大家。

双11云服务器热购推广(腾讯云)：2核+4G内存+3M带宽=688元/3年(仅限新用户)

上一篇：程序员选购电脑时应该注意的一些事项        下一篇：Table被web编程弃用的原因