[会员交流]Firefox和微软已将CNNIC添加到根证书列表中-！

zglloo · 发表于 2010-1-27 22:53:47

"Microsoft和Firefox已经将CNNIC作为根证书颁发机构添加到证书列表中：Chrome和FF一样设置
Microsoft 的PDF)
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
https://bugzilla.mozilla.org/show_bug.cgi?id=525008
出于对某机构的不放心，害怕被"别有用心"的朋友用于劫持SSL会话，许多朋友建议将CNNIC根证书添加到不受信任列表中。有网友给出了方法。"

当年的CNNIC中文域名软件还记得么……

Lightalt · 发表于 2010-1-28 00:06:09

我靠...
幸好没更新FF3.6
=======
...没用3.5.7还是信任了
貌似FF还是基于微软的ROOT的
好像前端时间有过一个root certificates的更新...
直接升级的了

[ 本帖最后由 Lightalt 于 2010-1-28 00:09 编辑 ]

ledled · 发表于 2010-1-28 10:29:46

~~我现在缺少CNNICSSL.crt这个文件，felixcat.net的下载链接失效，谁导出来麻烦上传一下。。~~

后来不知怎样找到了这个证书。。

[ 本帖最后由 ledled 于 2010-1-28 10:45 编辑 ]

Lightalt · 发表于 2010-1-28 14:52:39

中文BN也是用CNNIC的认证啊
删了上不了BN了...

Lightalt · 发表于 2010-1-28 14:59:07

搜索一下发现原来早在4月就已经加入了...
http://research.cnnic.cn/html/1242788590d447.html

Lightalt · 发表于 2010-1-28 15:01:39

看来还是不用删除了
CNNIC再如何作恶,也不能通过证书直接安装恶意软件的
顶多验证不严格,给钓鱼网站颁发了证书(无意?故意?)
反正只要自己输入的网址没问题就可以了

不然很多国内网站就上不了,很多国内的都是用CNNIC证书....

如果不相信CNNIC
光删除证书没啥用的,因为最后还是要信任这个网站
只有上诉到webtrust取消CNNIC ROOT资格才行...

[ 本帖最后由 Lightalt 于 2010-1-28 15:03 编辑 ]

Tynox · 发表于 2010-1-28 16:40:42

发现问题了....BN上不了了.

universebreaker · 发表于 2010-1-28 19:56:34

萬分感激樓主啊~
如果不是你說了,我也不知道這個危機!
已經廢掉那三個証書,ff和ie都成功了~
是不是日後即使有根憑證更新都不會重新認可那三張証書?
另外我是用ff 3.5.7,如果更新ff到更新版本,會不會再次認可那三張証書?

universebreaker · 发表于 2010-1-28 20:09:02

ff更新測試結果:
更新到3.6會令ff重新認可証書,ie就沒影響(只是不清楚更新憑證後會不會變...)
只要跟著說明中ff的部分來做就可以了~

DrLingCN · 发表于 2010-1-28 22:38:34

这个只能从官方修正……我们改都用处不大……

universebreaker · 发表于 2010-2-1 19:14:05

可以讓它廢掉呀~
人永遠是最強的
沒有人的話哪來各大小組織

看淡忧伤 · 发表于 2010-2-5 11:29:10

作为一个有几年从业人士，说几句明辨是非的话，不要以讹传讹，最后坏了数字证书的发展。根证书是不能监控网民行为。证书是一种符合国际通行技术标准的加密传输技术服务，就是把你要传输的信息加上密码，防止明文传输被人截获、信息泄露或中途被篡改，保证信息的完整性、安全性。

看淡忧伤 · 发表于 2010-2-5 11:31:45

原帖由 zglloo 于 2010-1-27 22:53 发表
"Microsoft和Firefox已经将CNNIC作为根证书颁发机构添加到证书列表中：Chrome和FF一样设置
Microsoft 的PDF)
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
https://bugzilla.mozilla.org/show_bug.cgi?id=52 ...

至于楼主说的吗，不必紧张的，证书不能强制安装。其安装及获得只有申请方的经办人及网站管理者才可以做到。任何一个网站的证书只有网站的管理者自己才可以修改，其他人是无法做到修改、篡改和假冒的。

风云变幻 · 发表于 2010-2-5 11:33:21

原帖由 DrLingCN 于 2010-1-28 22:38 发表
这个只能从官方修正……我们改都用处不大……

CA中心的证书发放流程十分严格，只有当以上的所有身份等证明信息审核无误后才能够发放证书给该申请者；
申请者只有得到了CA中心发放的身份识别码并且提交了相关的CSR（网站信息服务器信息等）到一个安全的地址，同时，只有当CSR（网站信息服务器信息等）中信息与当初申请时提交到系统的信息完全匹配，才可以下载自己的证书，否则，是无法获得证书的；
只有获得证书后才可以安装到自己的网站上；证书在安装到网站时，必须保证安装网站的域名与申请时的域名完全一致，否则，网站会弹出该网站“此网站的安全证书有问题。”的错误提示。
从以上可以看到用户的私有密钥一直是在用户自己手中的，CA中心是无法拿到其私钥的，因而不可能假冒。

所以任何一个网站的证书只有网站的管理者自己才可以修改，其他人是无法做到修改、篡改和假冒的。

蓬莱山 · 发表于 2010-2-5 11:35:42

证书是不能被仿冒，不能张冠李戴。证书由CA（根证书持有者）来发放，且其发放的证书必须保证证书满足以下三个方面：

证书获得方的身份必须是经过严格的审核，如其公司或个人的真实身份，即保证证书所属实体的真实性；

证书获得方的域名（如是服务器证书）必须是真实的，必须与证书所属实体信息一致；

证书申请时的经办人信息必须是真实的，且有申请单位或相关的委托证明材料。

通俗地讲，证书发放不能张冠李戴，例如不能给amail.com颁发一张gmail.com的证书。如果张冠李戴会怎么样？它逃不过审计规则。

		自动登录	找回密码
密码			新注册用户

[会员交流]Firefox和微软已将CNNIC添加到根证书列表中-！

Reply #6 Lightalt's post

回复 #10 DrLingCN 的帖子

回复 #6 Lightalt 的帖子