CNNIC 是中国互联网络信息中心的简称,由于其长期发布流氓软件,以及它与中共有密切的联系,因此我们有必要从系统中将其停用。首先我要跟大家聊聊有关根证书的话题:
证书是什么?
我们拿盖章做例子,比如微软公司要给联想公司发一个文件,联想公司如何确定,这个文件一定就是来自微软呢?因为联想已经事先拥有微软的公章,当微软在文件上盖了他们自己的公章之后,联想收到盖着公章的文件,就知道这个文件来自微软了,当然有人会问,恶意的攻击者不是能仿制一个公章盖上吗?这里只是一个比方,前提是没有人能伪装(其实电子证书是很难伪装的)。
根证书又是什么?
那倘若微软与很多公司都有商业往来呢?相互记住各个公司的公章是很低效的。现在有一个机构叫做担保工作室,他们的工作就是做担保的,主要步骤是:微软等公司向他们提供公章,然后微软与各公司都信任担保工作室,当微软等公司互相传送文件时,只要盖上担保工作室的公章,签上始发公司的名称,然后信任担保工作室的接收方就知道这个文件的来源是可信的。这个例子中,担保工作室就是一个根证书机构了。
为什么说根证书是可信度要求极高的文件呢?
从上面的例子可以看出,如果担保工作室是一个不守信用的机构,那么微软等公司会蒙受何等的损失?回到本文正题。
CNNIC 可以理解为上面所说的担保工作室,不过,它是没有什么信用可言的机构。首先,CNNIC 长期发布流氓软件,现在,CNNIC 可以利用它们的根证书给流氓软件签名,然后,利用我们系统默认信任它们根证书的特点安装到我们的电脑,以前他们不被信任时,系统会在我们不小心安装他们的流氓软件之前发出警告,现在呢?不会了!这样,只要他们发布木马等软件,并诱骗某些安全意思较弱的活动人士安装,中共就可以完全掌控那些活动人士的电脑,离他们“被喝茶”、“被失踪”就不远了。再有,CNNIC 可以配合 GFW 实施中间人攻击,所谓中间人攻击,简而言之,就是在我们的电脑到服务器之间更改传输链路,GFW 和 CNNIC 能做到的就是:GFW 负责 DNS 缓存投毒(恶意更改 DNS 查询的返回结果,把 DNS 名称指向到事先准备好用于模拟原网站的陷阱网站的 IP 地址),然后 CNNIC 根证书来伪装正确网站的根证书给陷阱网站颁发证书,因为陷阱网站做得通常跟正确网站相差无几,我们输入正确网站的登陆凭据,该凭据就会被中共搜集,然后中共就能进入我们的账户。
现在就来从系统中封锁 CNNIC 的根证书:
先来聊聊常见的封锁方法以及它们的弊病:
1. 直接从 IE 的证书体系中封锁,这样封锁之后,只会对当前的用户有效,如果系统中有多个账户,比如,系统中除了 Administrator 账户,还分别新建了名为艾未未和刘晓波的账户,用艾未未登录系统并在 IE 中封锁 CNNIC 的根证书后,刘晓波登录时,仍然还会受到 CNNIC 根证书的威胁,除非他也在 IE 浏览器中对其进行封锁,显然,这样做很低效。
2. 用“证书”管理控制台 (certmgr.msc) 对 CNNIC 的根证书进行封锁,此方法相比上一个方法而言,没有太大的不同,因为“证书”控制台默认也是针对当前用户的。
那么,最行之有效的方法是什么呢?答案是:从计算机级别的证书体系中对 CNNIC 的根证书进行围堵。接下来我们就开始!
我们需要先从
http://sdrv.ms/XLVPTT
下载 CNNIC 的根证书,打开上面的链接之后,点击 CNNIC Root Certificate(CNNIC 根证书).7z 链接,将文件下载到本机,然后解压到愿意的位置,现在,我以 Windows XP 为例,介绍一下操作的步骤,这个步骤适用于 Windows XP 和 Windows Server 2003 家族:
打开开始菜单,点击运行,输入 mmc,然后点击确定。点击窗口上方的文件,在菜单中选择添加/删除管理单元,或者,也可以按下 Ctrl+M 快捷键达成。单击添加按钮,然后在列表中选择证书,再次点击添加按钮,选择计算机帐户,点击下一步,然后点击完成,点击关闭,然后点击确定。
回到控制台1窗口后,双击右侧列表中的证书(本地计算机),然后双击不信任的证书,右键点击证书,进入所有任务-导入,点击下一步,然后使用文件浏览的方法找到 CNNICROOT.crt,点击下一步,再次点击下一步,然后点击完成,单击确定。
使用刚才的方法再将 CNNICSSL.crt 导入不受信任的证书中,现在,请打开 IE 浏览器,然后访问
https://www.cnnic.cn
如果浏览器提示证书错误,IE8 下提示此组织的证书已被吊销,就说明封锁成功。关闭控制台1窗口,根据实际情况,选择是否保存对控制台1的更改。
下面再来说一下 Windows 7 下的封锁方法,此方法也可用于 Windows Vista、Windows Server 2008 和 Windows Server 2008 R2:
点击开始-运行,输入 mmc,点击确定,此时,如弹出用户帐户控制对话框,请点击是,点击窗口上方的文件,点击添加/删除管理单元,或按 Ctrl+M 达成。在可用的管理单元列表中选择证书,点击添加按钮,选择计算机帐户,点击下一步,点击完成,点击确定。
回到控制台1窗口后,双击右侧列表中的证书(本地计算机),然后双击不信任的证书,右键点击证书,进入所有任务-导入,点击下一步,然后使用文件浏览的方法找到 CNNICROOT.crt,点击下一步,再次点击下一步,然后点击完成,单击确定。
使用刚才的方法再将 CNNICSSL.crt 导入不受信任的证书中,现在,请打开 IE 浏览器,然后访问
https://www.cnnic.cn
如果浏览器提示此组织的证书已被吊销,就说明封锁成功。关闭控制台1窗口,根据实际情况,选择是否保存对控制台1的更改。
说完从 Windows 证书体系中封锁 CNNIC 根证书后,接下来,我就要跟大家聊聊 Firefox 下的封锁方法,考虑到有人可能还没完全熟悉,因此我打算在下一篇文章中再来聊,咱们下次再见。
证书是什么?
我们拿盖章做例子,比如微软公司要给联想公司发一个文件,联想公司如何确定,这个文件一定就是来自微软呢?因为联想已经事先拥有微软的公章,当微软在文件上盖了他们自己的公章之后,联想收到盖着公章的文件,就知道这个文件来自微软了,当然有人会问,恶意的攻击者不是能仿制一个公章盖上吗?这里只是一个比方,前提是没有人能伪装(其实电子证书是很难伪装的)。
根证书又是什么?
那倘若微软与很多公司都有商业往来呢?相互记住各个公司的公章是很低效的。现在有一个机构叫做担保工作室,他们的工作就是做担保的,主要步骤是:微软等公司向他们提供公章,然后微软与各公司都信任担保工作室,当微软等公司互相传送文件时,只要盖上担保工作室的公章,签上始发公司的名称,然后信任担保工作室的接收方就知道这个文件的来源是可信的。这个例子中,担保工作室就是一个根证书机构了。
为什么说根证书是可信度要求极高的文件呢?
从上面的例子可以看出,如果担保工作室是一个不守信用的机构,那么微软等公司会蒙受何等的损失?回到本文正题。
CNNIC 可以理解为上面所说的担保工作室,不过,它是没有什么信用可言的机构。首先,CNNIC 长期发布流氓软件,现在,CNNIC 可以利用它们的根证书给流氓软件签名,然后,利用我们系统默认信任它们根证书的特点安装到我们的电脑,以前他们不被信任时,系统会在我们不小心安装他们的流氓软件之前发出警告,现在呢?不会了!这样,只要他们发布木马等软件,并诱骗某些安全意思较弱的活动人士安装,中共就可以完全掌控那些活动人士的电脑,离他们“被喝茶”、“被失踪”就不远了。再有,CNNIC 可以配合 GFW 实施中间人攻击,所谓中间人攻击,简而言之,就是在我们的电脑到服务器之间更改传输链路,GFW 和 CNNIC 能做到的就是:GFW 负责 DNS 缓存投毒(恶意更改 DNS 查询的返回结果,把 DNS 名称指向到事先准备好用于模拟原网站的陷阱网站的 IP 地址),然后 CNNIC 根证书来伪装正确网站的根证书给陷阱网站颁发证书,因为陷阱网站做得通常跟正确网站相差无几,我们输入正确网站的登陆凭据,该凭据就会被中共搜集,然后中共就能进入我们的账户。
现在就来从系统中封锁 CNNIC 的根证书:
先来聊聊常见的封锁方法以及它们的弊病:
1. 直接从 IE 的证书体系中封锁,这样封锁之后,只会对当前的用户有效,如果系统中有多个账户,比如,系统中除了 Administrator 账户,还分别新建了名为艾未未和刘晓波的账户,用艾未未登录系统并在 IE 中封锁 CNNIC 的根证书后,刘晓波登录时,仍然还会受到 CNNIC 根证书的威胁,除非他也在 IE 浏览器中对其进行封锁,显然,这样做很低效。
2. 用“证书”管理控制台 (certmgr.msc) 对 CNNIC 的根证书进行封锁,此方法相比上一个方法而言,没有太大的不同,因为“证书”控制台默认也是针对当前用户的。
那么,最行之有效的方法是什么呢?答案是:从计算机级别的证书体系中对 CNNIC 的根证书进行围堵。接下来我们就开始!
我们需要先从
http://sdrv.ms/XLVPTT
下载 CNNIC 的根证书,打开上面的链接之后,点击 CNNIC Root Certificate(CNNIC 根证书).7z 链接,将文件下载到本机,然后解压到愿意的位置,现在,我以 Windows XP 为例,介绍一下操作的步骤,这个步骤适用于 Windows XP 和 Windows Server 2003 家族:
打开开始菜单,点击运行,输入 mmc,然后点击确定。点击窗口上方的文件,在菜单中选择添加/删除管理单元,或者,也可以按下 Ctrl+M 快捷键达成。单击添加按钮,然后在列表中选择证书,再次点击添加按钮,选择计算机帐户,点击下一步,然后点击完成,点击关闭,然后点击确定。
回到控制台1窗口后,双击右侧列表中的证书(本地计算机),然后双击不信任的证书,右键点击证书,进入所有任务-导入,点击下一步,然后使用文件浏览的方法找到 CNNICROOT.crt,点击下一步,再次点击下一步,然后点击完成,单击确定。
使用刚才的方法再将 CNNICSSL.crt 导入不受信任的证书中,现在,请打开 IE 浏览器,然后访问
https://www.cnnic.cn
如果浏览器提示证书错误,IE8 下提示此组织的证书已被吊销,就说明封锁成功。关闭控制台1窗口,根据实际情况,选择是否保存对控制台1的更改。
下面再来说一下 Windows 7 下的封锁方法,此方法也可用于 Windows Vista、Windows Server 2008 和 Windows Server 2008 R2:
点击开始-运行,输入 mmc,点击确定,此时,如弹出用户帐户控制对话框,请点击是,点击窗口上方的文件,点击添加/删除管理单元,或按 Ctrl+M 达成。在可用的管理单元列表中选择证书,点击添加按钮,选择计算机帐户,点击下一步,点击完成,点击确定。
回到控制台1窗口后,双击右侧列表中的证书(本地计算机),然后双击不信任的证书,右键点击证书,进入所有任务-导入,点击下一步,然后使用文件浏览的方法找到 CNNICROOT.crt,点击下一步,再次点击下一步,然后点击完成,单击确定。
使用刚才的方法再将 CNNICSSL.crt 导入不受信任的证书中,现在,请打开 IE 浏览器,然后访问
https://www.cnnic.cn
如果浏览器提示此组织的证书已被吊销,就说明封锁成功。关闭控制台1窗口,根据实际情况,选择是否保存对控制台1的更改。
说完从 Windows 证书体系中封锁 CNNIC 根证书后,接下来,我就要跟大家聊聊 Firefox 下的封锁方法,考虑到有人可能还没完全熟悉,因此我打算在下一篇文章中再来聊,咱们下次再见。
感谢博主
回复删除我按照您给的方法封锁了CNNIC 根证书