请大家立即停止信任CNNIC以及China Internet Network Information Center的CA证书!

紧急通告!!请大家立即停止信任CNNIC以及China Internet Network Information Center的CA证书!!!具体操作方法:

(Linux/Windows请访问GitHub下载由@chengr28开发的自动可疑证书吊销工具:https://github.com/chengr28/RevokeChinaCerts

安卓设备:设置–安全–凭据存储–信任的凭据–找到并停用CNNIC以及China Internet Network Information Center,之后访问CNNIC的网站https://www1.cnnic.cn/gywm/CNNICjs/jj/ ,如果你的浏览器的地址栏中没有出现锁标并收到了安全警告,这证明取消信任CA证书成功”

image

image

image

image

CNNIC为何不可信?

1.今年10月份,GreatFire指出中国当局对苹果iCloud、谷歌、微软Outlook以及雅虎发动了中间人攻击。而CNNIC扮演了默许支持或积极配合的角色。

2.CNNIC是“中国信息社会的基础设施建设者、运营者与管理者”。GreatFire证实,最近几次的中间人攻击来自中国互联网的中枢。针对雅虎与谷歌的攻击在互联网中枢上持续了数周。

3.CNNIC有通信管理局负责人领导,而通信管理局隶属于中国工信部。

4.CNNIC运营的公共DNS也执行网络审查,禁止用户浏览脸书、推特、YouTube等许多网站。如果中国用户试图连接被封锁的网站,将会返回错误的DNS回应。但如果用户在中国以外,DNS返回的地址又是正确的。

5.CNNIC不仅审查互联网,同时也试图隐瞒。2014年1月21日,中国防火墙意外地封锁了中国的所有网络。有证据指出,中国的防火墙是此次中国断网的起因。CNNIC承认了断网,但没有说明具体原因。作为一个负责中国DNS安全的机构,CNNIC没能调查这次规模庞大的袭击,可以被看作是为中国防火墙做隐瞒。

6.后果严重

CNNIC的安全证书被许多开源产品默认设置为可信任,包括火狐、Ubuntu、微软视窗系统、苹果iOS和OSX系统。这适用于几乎所有版本的火狐、Ubuntu、视窗系统、和大多数的苹果手机。受影响的用户包括从未去过中国、在中国以外购买、下载软硬件的用户。
CNNIC可在用户不知情的情况下,颁布证书以截获加密的连接。以上的截图显示,CNNIC可确保对远程电脑的定位。如果中国防火墙或国家黑客使用CNNIC来进行中间人攻击,你的电脑或iPhone将信任黑客攻击的连接。而用户之间所有的通信将被GFW记录,信息将被中国当局所截获。而Apple Pay的连接一旦被截获,损失的除了隐私之外,还会产生金钱损失。

GreatFire指出,iPhone尤其容易受到攻击,因为iPhone用户无法查看可信任证书的信息,无法察觉来自CNNIC的攻击。即使不在中国的用户,也会受到此类攻击。

借助CNNIC进行的中间人攻击不可能大规模发生,因为一旦发现,就会被火狐、微软和苹果等公司取消资格。但高度集中的攻击很可能不被察觉。此前对Outlook的攻击就差点没有被察觉。

GreatFire呼吁用户向各大电子公司请求,取消CNNIC证书。该组织指出,中国政府可能会因此向这些公司施压。同时,该组织也呼吁用户删除CNNIC证书。

本文为删减版,原文:https://pao-pao.net/article/242

“请大家立即停止信任CNNIC以及China Internet Network Information Center的CA证书!”的4个回复

  1. 我的证书里面在博主提到的china及cnnic中间还有两个由china开头的证书,不知道干嘛的,cnnic文中有提到了,请问china开头的那个是干嘛的

    1. 我又google了下,发现是cnnic新的马甲,同时我搜了下另外两个开头是china mobile开头的证书,没有详细的介绍,只是中国移动出来了。

      1. 感谢评论~您说的那两个证书我我还真没遇到过,不知可否提供一下更具体的情报?

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注