这是一个创建于 3793 天前的主题,其中的信息可能已经有所发展或是发生改变。
无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。
于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!
我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。
问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)
随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?
在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!
我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。
问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)
随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?
在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
第 1 条附言 · 2015-04-08 16:07:41 +08:00
“CNNIC发行的中级CA发行了Google的假证书”
这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整(所以我也觉得没必要自己是评估,他们都会处理好的)。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。
至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了(接到举报马上处理)。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。
我的想法还是比较中立的,专业的事情还是专业的人去做的好(指监管和风险评估),自己去评估风险也只能从媒体捕风捉影,而媒体最喜欢夸大事情让人搞不清一开始到底是怎么回事。伪造证书这种付出成本太高的事情,又能去做几次呢?出了一次事情已经让各大浏览器厂商敏感了。还能来第二次?
另外也证明,使用一个现代浏览器是很有必要的。因为他们会为我们考虑更多。
这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整(所以我也觉得没必要自己是评估,他们都会处理好的)。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。
至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了(接到举报马上处理)。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。
我的想法还是比较中立的,专业的事情还是专业的人去做的好(指监管和风险评估),自己去评估风险也只能从媒体捕风捉影,而媒体最喜欢夸大事情让人搞不清一开始到底是怎么回事。伪造证书这种付出成本太高的事情,又能去做几次呢?出了一次事情已经让各大浏览器厂商敏感了。还能来第二次?
另外也证明,使用一个现代浏览器是很有必要的。因为他们会为我们考虑更多。
 |
1
ejin OP 60人点击1人收藏就是没人回复 = = 难道都block我了。唉,算了。
|
 |
2
dangge 2014-06-17 23:26:11 +08:00
CNNIC记得以前好像出过什么事
然后都呼吁赶紧把系统中CNNIC证书删掉 |
 |
3
geeklian 2014-06-17 23:30:40 +08:00 via iPad
现在看来完全是杞人忧天。
当初都以为cnnic会被gfw拿来做境外https的中间人攻击。 没想到gfw直接靠block ip域名这么干脆。 |
 |
5
efi 2014-06-17 23:37:18 +08:00
Verisign是美国政府的婊子,为啥不把它删掉?专业一点不要情绪用事。
|
|
6
ejin OP  1
|
|
7
ejin OP |
 |
8
clino 2014-06-17 23:41:16 +08:00
@geeklian 中间人攻击这个可以单独针对性攻击,不会用大规模使用这么SB的,普通人哪里会成为这种目标
这种攻击的目的会是窃取加密信息,和GFW的无差别屏蔽的目的会是两回事 |
 |
9
lehui99 2014-06-17 23:49:31 +08:00 via Android
@clino 终于有个人的想法和我从一个内部人士那道听途说的不谋而合了,说这个证书是针对少部分敏感人士的,他们电脑技术都不高,而且很多还被软禁或半软禁状态,如果劫持没被发现则可以窃取“罪证”,如果被发现直接冲进去没收电脑,没机会给你保存证书。说是某些浏览器会自动上报有问题的证书,然后把上报服务器给墙了。所以干了坏事也发现不了。
以上只是吃饭时闲聊得到的消息,真假自己判断。 |
 |
10
JoeyChan 2014-06-17 23:51:04 +08:00
国内大站貌似很少有用cnnic的证书,我删除了cnnic的信任大概有一两年时间了,到目前为止只发现windowsazure.cn用它家的证书,结果我上不了azure网站了,哈!
|
 |
11
66CCFF 2014-06-17 23:51:36 +08:00
windows Azure中国版现在使用cnnic的证书。。OTL
|
 |
12
BinbinWang 2014-06-17 23:52:59 +08:00
|
 |
13
eirk2004 2014-06-17 23:54:18 +08:00
大家不要忘了阿里、支付宝、还有部分网银添加的证书。我觉得要保持一定的警惕。
CNNIC ROOT有时候禁用不行,因为我碰到过两次游戏客户端,都要求使用CNNIC ROOT作为SSL登录的证书 |
 |
14
Lone 2014-06-17 23:55:08 +08:00
CNNIC证书对于绝大部分人几乎没有影响,但是屁股粘点屎的都得小心,需要用CNNIC证书钓鱼的人属于随时吃皇粮的人。
简单查了这个审计,大概是审计业务运作逻辑安全性、保密性,CNNIC要过这种审计并没有难度,但是,再牛逼的系统还是人操作。 用假证书确实会留下证据,但是我不认为钓鱼的人会SB到用假证书去钓一个黑客或有足够电脑知识的人,某些人被钓鱼的话,恐怕用不了多久连电脑也会被收走。 况且,CNNIC被抓包找几个人当替罪羊就可以给个交代了,对于单位来说国际声誉就是浮云,外国人又不会买CNNIC证书,这种新闻国内又不能报道,结果该买CNNIC证书的人还是会继续买。 简单点说CNNIC信任问题就是:CNNIC是政府的事业单位,你信不信这个单位? |
|
16
geeklian 2014-06-17 23:58:01 +08:00 via iPad
|
 |
17
billlee 2014-06-18 00:00:17 +08:00
针对 CA 安全的问题,Firefox 可以使用 Certificate Patrol 这个扩展
|
 |
18
Quaintjade 2014-06-18 00:01:35 +08:00
1. 可以认为cnnic ca目前尚未发现用来干坏事。
2. 一个以前种种行为表明其人品不好的人,给他一把枪当然会遭到反对。他可能不会干什么小坏事,但指不定哪天干桩大事。 3. E&Y老本行是财务审计,而电子商务审计是衍生产业。所谓审计就是执行一堆规定的流程,然后声明: 我们实施了必要的审计流程,可以在合理范围内保证被审计对象截至XX日期是符合标准的;但是由于一些固有限制,仍可能存在差错;报告日之后的变化不关我们鸟事;标准以外的事项也不关我们鸟事。 扫了眼WebTrust的标准,貌似没包括政府凌驾于根证书颁发商之上的情况。 再说四大事务所又如何?想在国内混饭吃可能与政府作对么? |
|
19
clino 2014-06-18 00:09:49 +08:00
@eirk2004 这种我倒是觉得不太用担心,除非底下操作的攻击者缺钱自己私自拿去黑别人帐号(这种大体只能弄小钱风险也不低),否则应该不会出现,主子都不会缺钱的
纯猜... |
|
20
Quaintjade 2014-06-18 00:11:43 +08:00
@geeklian 听说ROOT CA的私钥有的是存银行保险柜里的,可能一年都不会拿出来一次。签发证书一般都是Intermediate CA,我觉得一般就一直放在签发程序里不会动它。想把CA偷偷搞出来没那么容易。
|
|
21
clino 2014-06-18 00:13:56 +08:00
@geeklian
"反倒是cnnic对于国安,可能太显眼了。" 有针对性的攻击一点不会显眼的,特别现在早被淡忘的情况下 "我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的" 这个还真是更不安全,那些都是国外的,一不小心泄漏了会弄一个国际丑闻出来的,cnnic都在国内,方便不说,出了事灭口也方便嘛 |
 |
22
046569 2014-06-18 02:55:14 +08:00
|
 |
23
virushuo 2014-06-18 04:47:42 +08:00
对中国ip的伪造google证书的中间人攻击大规模出现也有几次。只不过持续时间不长,很多人没注意到罢了,可以理解大规模出现是一种测试。
历史上cnnic做过的坏事多了去了,曾经流氓软件大战也是他们挑起的。这种组织没什么可信的。 审计只是审计制度,没法审计出来做没做过坏事。不然会计公司就成成私人侦探了。 在cnnic检讨历史上做过的坏事之前,还是不信任他们比较好。 |
 |
24
dndx 2014-06-18 06:42:34 +08:00
@geeklian
@Quaintjade @clino 楼上各位明显不了解情况,各家 CA 可不用 openssl 之类的低端货,人家储存私钥(不管是根证书私钥还是中间证书私钥)用的都是 HSM ,别说国安,就是 CNNIC 的老板也不知道他们的私钥长什么样。 HSM 的工作原理就是一台完全黑盒的机器,公私钥完全在内部生成,只有公钥可以导出。签证书也是把 CSR 发到机器里签。想把私钥偷走,还不如直接把机器抱走简单。 问题是你把机器抱走人家还能发现不了? |
|
26
dndx 2014-06-18 07:58:58 +08:00
@clino 明明你自己回复里在说私钥的事。如果是行政强制手段那的确无解,你还不如说国安去把 Google 北京机房抄了,效率更高。
|
 |
28
jasontse 2014-06-18 08:22:51 +08:00 via iPad
还有一个问题,使用 CNNIC ROOT 的证书来做加密是否安全? 因为他们持有你的私钥,在不使用 Perfect Forward Secrecy 的情况下有没有可能直接解密数据流?
|
|
29
clino 2014-06-18 08:23:50 +08:00 via Android
@dndx 把google机房抄了不会引起国际纠纷?cnnic可是自己人,一定要有个自己的根证书好处就在这里。
|
|
30
jasontse 2014-06-18 08:27:29 +08:00 via iPad
@clino 不一定要抄机房啊,Google 北京服务器有黑科技的原因是他们自己做 BGP,而且有一条 IPv6 的 Peering 直连 Google 全球网络。
http://bgp.he.net/AS24424#_peers6 |
 |
31
Shieffan 2014-06-18 08:29:01 +08:00 via iPhone
从技术层面上来说,没有证据证明cnnic的这个根证书做过恶,暂时是可信的。
但我还是remove了它 |
 |
32
lm902 2014-06-18 09:08:34 +08:00 via Android
明明是CNNIC Root, 不是CNNIC ROOT
|
|
34
lm902 2014-06-18 09:13:02 +08:00 via Android
个人认为CNNIC Root的存在是为了通过为.cn域名提供免费证书来让大家备案网站和用.cn域名
|
 |
35
kstsca 2014-06-18 09:27:24 +08:00
@BinbinWang 域名或电子邮箱与申请信息不一致! 貌似不行,你们试试
|
|
36
lehui99 2014-06-18 09:30:29 +08:00
@jasontse 笑话,教育网都能通过IPv6连接 Google 全球网络呢,照你这么说教育网用户都有能力生成用于中间人攻击的证书了。
|
 |
41
JTR 2014-06-18 09:51:01 +08:00 1
用户群果然变了 相信cnnic的也出现了
|
|
43
jasontse 2014-06-18 09:59:03 +08:00 via iPad
很多国内的 CA 代理商是私钥和 CSR 包办的,这种漏洞应该会出现在很多小网站上。
|
|
44
Shieffan 2014-06-18 10:00:38 +08:00
@jasontse 额,国内的一些ssl reseller好像还真有不少提供这种”全套“服务的。
不过我觉得如果网站的运维都到了这个水平还搞个毛的SSL啊,估计网站早就万人骑了,加个SSL也只是找点儿心理安慰吧。 |
|
45
jasontse 2014-06-18 10:02:09 +08:00 via iPad
还有大家申请 StartSSL 的时候也要注意,网上绝大部分教程都是直接在 StartSSL 网站上搞定一切。CSR 什么的完全不管,私钥的密码也是交给 StartSSL 来去除。
|
 |
47
notcome 2014-06-18 15:35:15 +08:00
难道 CNNIC 开启中间人攻击能被大规模检测到嘛……
|
 |
49
JoyNeop 2014-06-19 13:58:45 +08:00
美国之外的 CA 不信任,受美国政府控制的 CA 不信任,就这么简单。
|
 |
50
Cu635 2014-11-20 17:12:37 +08:00
不好意思挖个坟。我今天才发现firefox已经不再信任cnnic证书了。
确实,firefox还带着cnnic root,但是把它的三个功能都给禁止了。我自己修改信任还是在cnnic这事儿刚刚出来的时候,后来重新装过一次系统却把这事儿给忘了。 所以说lz说的“cnnic一直被信任”不成立。 |
|
51
ejin OP @Cu635 哥们你逗我玩呢,被你这样一说,我马上去下载了一个Firefox 33.1.1,什么都不改直接打开设置看,为什么我的不是三个功能都被禁止了?是不是你自己禁止的?或者你的Firefox是在哪下载的?或者我下载的和你下载的不是同一个Firefox?
建议你卸载干净,全新安装!再看看是不是你说的那样!这是Firefox的下载地址,认准了https防劫持下载地址 https://download.mozilla.org/?product=firefox-33.1.1-SSL&os=win&lang=zh-CN 这是截图  |
 |
52
hahafofo 2015-03-24 13:56:05 +08:00
http://www.solidot.org/story?sid=43434 最后还是悲剧了,cnnic终于发大招了
|
|
54
ejin OP @hahafofo “CNNIC发行的中级CA发行了Google的假证书”
这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。 至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。 |
Select Language