首页 - 简体 - 正體 - 手机版 

人民报 
首页 要闻 内幕 时事 幽默 国际 奇闻 灾祸 万象 生活 文化 专题 寰宇 维权 视频 扯扯
 
 
 
 
 
 读者园地 
3456789
10111213141516
17181920212223
24252627282930
31123
 
 
 

1. 薄熙来想干么!遭文强“潜规则”的女明星竟是男人(多图)  (38811次)

2. 江绵恒在胡面前从来没这样笑过(多图)  (38008次)

3. 江的绝密被李长春抖落出来了  (36959次)

4. 老江衰到家!小胡把宋祖英恶心成这样(图)  (35037次)

5. 绝无仅有!薄熙来的新语录震惊世界(多图)  (35028次)

6. 宋祖英居首!中共发布演艺名人道德修养榜(图)  (31226次)

7. 八成已遭不测!高智晟曾以“唱红”维持生命(图)  (31125次)

8. 老江要是遇到这位日本新闻女主播…(多图)  (30111次)

9. 新华网的图片新闻让人惊了两惊(多图)  (29622次)

10. 震惊!折腾半天…文强没犯多大事儿(图)  (29550次)

11. 周永康,你老婆喊你跟她一起回家(图)  (28210次)

12. 谷歌一挺腰…中共高位截了瘫(图)  (27204次)

13. 难以置信的图片!事发机率亿万分之一(图)  (27193次)

14. 维基百科新词条:非法献花(多图)  (26654次)

15. 新华网头条!众党官摆的姿势曝出大新闻(多图)  (25403次)

16. 中共在石家庄形势严重(图)  (25168次)

17. 被认定影射政治局 韩寒杂志首期封面被毙(图)  (24464次)

18. 小笑话:“我”怎么向谷歌妥协(图)  (22059次)

19. 喝高了!新华网这消息忒说不过去(图)  (21047次)

20. 咬足协高官 一口下去中共受不了(图)  (19739次)

 
 

 
 
2010年2月4日 分享: Facebook Google+ LinkedIn StumbleUpon Pinterest Email 打印机版
 
 
CNNIC CA──最最最严重安全警告!
 
网文
 
【人民报消息】由 WCM 于 星期一, 2010-02-01 20:00 发表

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC--对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它--偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?

我对此有3个疑问:

1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

* 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部份的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部份人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689 和 Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧(结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

文章网址: http://www.renminbao.com/rmb/articles/2010/2/4/51882.html
打印机版

分享至: Facebook Google+ LinkedIn StumbleUpon Pinterest Email 打印机版
 

分享至手机:

 
 
相关文章
 
图片文章导读
 
CNNIC CA──最最最严重安全警告!
 
 
奥巴马誓言对中共采取更强硬立场
 
 
唐英年纽约吹嘘“亚文中心” 华尔街听不下去了
 
 
全球Twitter徵文比赛 网民周曙光夺冠
 
 
美国情报首脑警告网络安全
 
 
中联办施压 阻中石化“死火门”曝光
 
 
小笑话:中共帮美国纪录片获奥斯卡(图)
 
 
首次拍到两颗小行星正面碰撞残骸(多图)
 
 
 
薄熙来想干么!遭文强“潜规则”的女明星竟是男人(多图)
 
 
《劫后天府泪纵横》获奥斯卡提名(图)
 
 
“黑色幽默”:遮挡下体的后果(图)
 
 
活的折腾够了 又来折腾死的(多图)
 
 
胡打击江家帮占据主动 张德江落马
 
 
中共欲染红“飞虎群英” 国军愤怒(多图)
 
 
老江衰到家!小胡把宋祖英恶心成这样(图)
 
 
“楼脆脆”即将剧终(图)
 
 
 
 
2010年,中共打不开的死结
 
 
揭示触目惊心历史事件 《苏联故事》轰动欧美(图)
 
 
中共到底惧怕甚么
 
 
新名词“点四们”在大陆流行
 
 
难得一见的月亮彩虹(多图)
 
 
小笑话:希望境外黑客经常来黑(图)
 
 
一个离奇的强奸判决
 
 
从香港特首起家秘辛看中共渗透(图)
 
 
喝高了!新华网这消息忒说不过去(图)
 
 
中国到底怎么了
 
 
治疗甲流药失效 每天都在死人 中共隐瞒
 
 
外电:中共政权网站上有病毒软件
 
 
科学家发现恒星级黑洞(图)
 
 
小笑话:小英子爱上老江的原因(图)
 
 
赤贫人口惊人 三公消费万亿 中国临近动乱
 
 
新华网的图片新闻让人惊了两惊(多图)
 
 
 
 
红朝“奇观”:中共控制人口新方案(多图)
 
 
湖北甲流死难者家属声明退出中共
 
 
一位“反动人士”向胡锦涛提供的信息(图)
 
 
宇宙能量消耗比预测快三十倍(图)
 
 
俄神秘古城遗址有许多神奇现象(图)
 
 
中共在石家庄形势严重(图)
 
 
《阿凡达》掀起奇异幻想热(多图)
 
 
宋祖英获奖有辱国人!(图)
 
 
中共央视再起大火 网民“祝贺”
 
 
江的绝密被李长春抖落出来了
 
 
港府替中共擦鞋将失去什么
 
 
《孔子》入党,不败奈何?──毛泽东一语成谶
 
 
地震局砖家严正公告
 
 
香港五区总辞起义 中共暴跳(视频)
 
 
虎年 正虎把中共噎入虎口(图)
 
 
暴炒成国灾(图)
 
 
损失逾两万 六名沪学生怒斥“政府真混蛋”(图)
 
 
2010年刚开始 中共又出最牛语录
 
 
大灾难啊!三聚氰胺卷土重来(视频)
 
 
银河系中心拍到横跨五十光年猫爪星云(图)
 
 
周永康,你老婆喊你跟她一起回家(图)
 
 
中共对美国最具破坏性的网络攻击
 
 
中共打压《阿凡达》 《孔子》票房惨淡
 
 
日本官方急了 中共对冯正虎发出威胁
 
相关文章
 
 
 

本报记者
 
 
专栏作者
 
首页 要闻 内幕 时事 幽默 国际 奇闻 灾祸 万象 生活 文化 专题 寰宇 维权 视频 扯扯
 
 
Copyright© renminbao.com. All Rights Reserved