这是一个创建于 4212 天前的主题,其中的信息可能已经有所发展或是发生改变。
无意中看到WoSign在淘宝卖个人签名证书,最便宜的居然是20元的,好奇看了下说明,发现机构好像默认都不是系统信任的,于是顺便看了下信任列表。
于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!
我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。
问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)
随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?
在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
于是想起一个事情,几年前网上很多人大肆宣扬CNNIC ROOT这个颁发证书的机构是不该信任的,那时候甚至有人去投诉,但是CNNIC依然还是被信任的!
我们都知道,证书机构是要被系统信任才有效,否则立刻就可以扔入不信任列表里,然后永远完蛋了,可能还会让所在国更不信任。
问题出来了,为什么CNNIC一直被信任呢?很显然那是他没有违反游戏规则,没有伪造证书(至少没被人抓到过),只要开始伪造证书,那么要抓到是很容易的(只要把证书导出,就是最好的证据,一般人可能发现不了,但是一旦发现,那就是永坠地狱)。不光是如此,还有就是保密手段到目前暂时还算靠谱,不然根证书的密钥被人拿走了,一样是杯具的。(看了下系统的不信任列表,里面没出现CNNIC颁发的证书)
随便搜了下,提到cnnic入驻系统信任列表的帖子是2010的时候,所以最后得出的结论是,这4年来CNNIC ROOT还是靠谱的?
在知乎看到2条王磊的回答,觉得还是靠谱的。
http://www.zhihu.com/question/20390773
http://www.zhihu.com/question/20746900
以下引用自以上网址
“CNNIC CA由Ernst & Young进行WebTrust审计(国际标准,没听说过的请默默自习),每年两次,不存在楼上说的几年前以及上当一说。Ernst & Young作为全球四大独立的事务所之一,它的审计结果还是具有相当的真实性以及准确性的。只有通过WebTrust审计的CA才具有申请操作系统以及浏览器将Root Certificate预埋的资格。以上只陈述事实,不存在任何感情色彩。”
第 1 条附言 2015-04-08 16:07:41 +08:00
“CNNIC发行的中级CA发行了Google的假证书”
这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整(所以我也觉得没必要自己是评估,他们都会处理好的)。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。
至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了(接到举报马上处理)。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。
我的想法还是比较中立的,专业的事情还是专业的人去做的好(指监管和风险评估),自己去评估风险也只能从媒体捕风捉影,而媒体最喜欢夸大事情让人搞不清一开始到底是怎么回事。伪造证书这种付出成本太高的事情,又能去做几次呢?出了一次事情已经让各大浏览器厂商敏感了。还能来第二次?
另外也证明,使用一个现代浏览器是很有必要的。因为他们会为我们考虑更多。
这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整(所以我也觉得没必要自己是评估,他们都会处理好的)。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。
至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了(接到举报马上处理)。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。
我的想法还是比较中立的,专业的事情还是专业的人去做的好(指监管和风险评估),自己去评估风险也只能从媒体捕风捉影,而媒体最喜欢夸大事情让人搞不清一开始到底是怎么回事。伪造证书这种付出成本太高的事情,又能去做几次呢?出了一次事情已经让各大浏览器厂商敏感了。还能来第二次?
另外也证明,使用一个现代浏览器是很有必要的。因为他们会为我们考虑更多。
 | 1 ejin OP 60人点击1人收藏就是没人回复 = = 难道都block我了。唉,算了。 |
 | 2 dangge 2014-06-17 23:26:11 +08:00 CNNIC记得以前好像出过什么事 然后都呼吁赶紧把系统中CNNIC证书删掉 |
 | 3 geeklian 2014-06-17 23:30:40 +08:00 via iPad 现在看来完全是杞人忧天。 当初都以为cnnic会被gfw拿来做境外https的中间人攻击。 没想到gfw直接靠block ip域名这么干脆。 |
 | 5 efi 2014-06-17 23:37:18 +08:00 Verisign是美国政府的婊子,为啥不把它删掉?专业一点不要情绪用事。 |
| 6 ejin OP  1 |
| 7 ejin OP |
 | 8 clino 2014-06-17 23:41:16 +08:00 这种攻击的目的会是窃取加密信息,和GFW的无差别屏蔽的目的会是两回事 |
 | 9 lehui99 2014-06-17 23:49:31 +08:00 via Android @clino 终于有个人的想法和我从一个内部人士那道听途说的不谋而合了,说这个证书是针对少部分敏感人士的,他们电脑技术都不高,而且很多还被软禁或半软禁状态,如果劫持没被发现则可以窃取“罪证”,如果被发现直接冲进去没收电脑,没机会给你保存证书。说是某些浏览器会自动上报有问题的证书,然后把上报服务器给墙了。所以干了坏事也发现不了。 以上只是吃饭时闲聊得到的消息,真假自己判断。 |
 | 10 JoeyChan 2014-06-17 23:51:04 +08:00 国内大站貌似很少有用cnnic的证书,我删除了cnnic的信任大概有一两年时间了,到目前为止只发现windowsazure.cn用它家的证书,结果我上不了azure网站了,哈! |
 | 11 66CCFF 2014-06-17 23:51:36 +08:00 windows Azure中国版现在使用cnnic的证书。。OTL |
 | 12 BinbinWang 2014-06-17 23:52:59 +08:00 |
 | 13 eirk2004 2014-06-17 23:54:18 +08:00 大家不要忘了阿里、支付宝、还有部分网银添加的证书。我觉得要保持一定的警惕。 CNNIC ROOT有时候禁用不行,因为我碰到过两次游戏客户端,都要求使用CNNIC ROOT作为SSL登录的证书 |
 | 14 Lone 2014-06-17 23:55:08 +08:00 CNNIC证书对于绝大部分人几乎没有影响,但是屁股粘点屎的都得小心,需要用CNNIC证书钓鱼的人属于随时吃皇粮的人。 简单查了这个审计,大概是审计业务运作逻辑安全性、保密性,CNNIC要过这种审计并没有难度,但是,再牛逼的系统还是人操作。 用假证书确实会留下证据,但是我不认为钓鱼的人会SB到用假证书去钓一个黑客或有足够电脑知识的人,某些人被钓鱼的话,恐怕用不了多久连电脑也会被收走。 况且,CNNIC被抓包找几个人当替罪羊就可以给个交代了,对于单位来说国际声誉就是浮云,外国人又不会买CNNIC证书,这种新闻国内又不能报道,结果该买CNNIC证书的人还是会继续买。 简单点说CNNIC信任问题就是:CNNIC是政府的事业单位,你信不信这个单位? |
| 16 geeklian 2014-06-17 23:58:01 +08:00 via iPad |
 | 17 billlee 2014-06-18 00:00:17 +08:00 针对 CA 安全的问题,Firefox 可以使用 Certificate Patrol 这个扩展 |
 | 18 Quaintjade 2014-06-18 00:01:35 +08:00 1. 可以认为cnnic ca目前尚未发现用来干坏事。 2. 一个以前种种行为表明其人品不好的人,给他一把枪当然会遭到反对。他可能不会干什么小坏事,但指不定哪天干桩大事。 3. E&Y老本行是财务审计,而电子商务审计是衍生产业。所谓审计就是执行一堆规定的流程,然后声明: 我们实施了必要的审计流程,可以在合理范围内保证被审计对象截至XX日期是符合标准的;但是由于一些固有限制,仍可能存在差错;报告日之后的变化不关我们鸟事;标准以外的事项也不关我们鸟事。 扫了眼WebTrust的标准,貌似没包括政府凌驾于根证书颁发商之上的情况。 再说四大事务所又如何?想在国内混饭吃可能与政府作对么? |
| 19 clino 2014-06-18 00:09:49 +08:00 @eirk2004 这种我倒是觉得不太用担心,除非底下操作的攻击者缺钱自己私自拿去黑别人帐号(这种大体只能弄小钱风险也不低),否则应该不会出现,主子都不会缺钱的 纯猜... |
| 20 Quaintjade 2014-06-18 00:11:43 +08:00 @geeklian 听说ROOT CA的私钥有的是存银行保险柜里的,可能一年都不会拿出来一次。签发证书一般都是Intermediate CA,我觉得一般就一直放在签发程序里不会动它。想把CA偷偷搞出来没那么容易。 |
| 21 clino 2014-06-18 00:13:56 +08:00 @geeklian "反倒是cnnic对于国安,可能太显眼了。" 有针对性的攻击一点不会显眼的,特别现在早被淡忘的情况下 "我觉得跟证书机构那么多,国安、NSA找几个,随便打入内部,拿到私钥应该是轻而易举的" 这个还真是更不安全,那些都是国外的,一不小心泄漏了会弄一个国际丑闻出来的,cnnic都在国内,方便不说,出了事灭口也方便嘛 |
 | 22 046569 2014-06-18 02:55:14 +08:00 |
 | 23 virushuo 2014-06-18 04:47:42 +08:00 对中国ip的伪造google证书的中间人攻击大规模出现也有几次。只不过持续时间不长,很多人没注意到罢了,可以理解大规模出现是一种测试。 历史上cnnic做过的坏事多了去了,曾经流氓软件大战也是他们挑起的。这种组织没什么可信的。 审计只是审计制度,没法审计出来做没做过坏事。不然会计公司就成成私人侦探了。 在cnnic检讨历史上做过的坏事之前,还是不信任他们比较好。 |
 | 24 dndx 2014-06-18 06:42:34 +08:00 @geeklian @Quaintjade @clino 楼上各位明显不了解情况,各家 CA 可不用 openssl 之类的低端货,人家储存私钥(不管是根证书私钥还是中间证书私钥)用的都是 HSM ,别说国安,就是 CNNIC 的老板也不知道他们的私钥长什么样。 HSM 的工作原理就是一台完全黑盒的机器,公私钥完全在内部生成,只有公钥可以导出。签证书也是把 CSR 发到机器里签。想把私钥偷走,还不如直接把机器抱走简单。 问题是你把机器抱走人家还能发现不了? |
| 26 dndx 2014-06-18 07:58:58 +08:00 @clino 明明你自己回复里在说私钥的事。如果是行政强制手段那的确无解,你还不如说国安去把 Google 北京机房抄了,效率更高。 |
 | 28 jasontse 2014-06-18 08:22:51 +08:00 via iPad 还有一个问题,使用 CNNIC ROOT 的证书来做加密是否安全? 因为他们持有你的私钥,在不使用 Perfect Forward Secrecy 的情况下有没有可能直接解密数据流? |
| 29 clino 2014-06-18 08:23:50 +08:00 via Android @dndx 把google机房抄了不会引起国际纠纷?cnnic可是自己人,一定要有个自己的根证书好处就在这里。 |
| 30 jasontse 2014-06-18 08:27:29 +08:00 via iPad @clino 不一定要抄机房啊,Google 北京服务器有黑科技的原因是他们自己做 BGP,而且有一条 IPv6 的 Peering 直连 Google 全球网络。 http://bgp.he.net/AS24424#_peers6 |
 | 31 Shieffan 2014-06-18 08:29:01 +08:00 via iPhone 从技术层面上来说,没有证据证明cnnic的这个根证书做过恶,暂时是可信的。 但我还是remove了它 |
 | 32 lm902 2014-06-18 09:08:34 +08:00 via Android 明明是CNNIC Root, 不是CNNIC ROOT |
| 34 lm902 2014-06-18 09:13:02 +08:00 via Android 个人认为CNNIC Root的存在是为了通过为.cn域名提供免费证书来让大家备案网站和用.cn域名 |
 | 35 kstsca 2014-06-18 09:27:24 +08:00 @BinbinWang 域名或电子邮箱与申请信息不一致! 貌似不行,你们试试 |
| 36 lehui99 2014-06-18 09:30:29 +08:00 @jasontse 笑话,教育网都能通过IPv6连接 Google 全球网络呢,照你这么说教育网用户都有能力生成用于中间人攻击的证书了。 |
 | 41 JTR 2014-06-18 09:51:01 +08:00 1 用户群果然变了 相信cnnic的也出现了 |
| 43 jasontse 2014-06-18 09:59:03 +08:00 via iPad 很多国内的 CA 代理商是私钥和 CSR 包办的,这种漏洞应该会出现在很多小网站上。 |
| 44 Shieffan 2014-06-18 10:00:38 +08:00 @jasontse 额,国内的一些ssl reseller好像还真有不少提供这种”全套“服务的。 不过我觉得如果网站的运维都到了这个水平还搞个毛的SSL啊,估计网站早就万人骑了,加个SSL也只是找点儿心理安慰吧。 |
| 45 jasontse 2014-06-18 10:02:09 +08:00 via iPad 还有大家申请 StartSSL 的时候也要注意,网上绝大部分教程都是直接在 StartSSL 网站上搞定一切。CSR 什么的完全不管,私钥的密码也是交给 StartSSL 来去除。 |
 | 47 notcome 2014-06-18 15:35:15 +08:00 难道 CNNIC 开启中间人攻击能被大规模检测到嘛…… |
 | 49 JoyNeop 2014-06-19 13:58:45 +08:00 美国之外的 CA 不信任,受美国政府控制的 CA 不信任,就这么简单。 |
 | 50 Cu635 2014-11-20 17:12:37 +08:00 不好意思挖个坟。我今天才发现firefox已经不再信任cnnic证书了。 确实,firefox还带着cnnic root,但是把它的三个功能都给禁止了。我自己修改信任还是在cnnic这事儿刚刚出来的时候,后来重新装过一次系统却把这事儿给忘了。 所以说lz说的“cnnic一直被信任”不成立。 |
| 51 ejin OP @Cu635 哥们你逗我玩呢,被你这样一说,我马上去下载了一个Firefox 33.1.1,什么都不改直接打开设置看,为什么我的不是三个功能都被禁止了?是不是你自己禁止的?或者你的Firefox是在哪下载的?或者我下载的和你下载的不是同一个Firefox? 建议你卸载干净,全新安装!再看看是不是你说的那样!这是Firefox的下载地址,认准了https防劫持下载地址 https://download.mozilla.org/?product=firefox-33.1.1-SSL&os=win&lang=zh-CN 这是截图  |
 | 52 hahafofo 2015-03-24 13:56:05 +08:00 http://www.solidot.org/story?sid=43434 最后还是悲剧了,cnnic终于发大招了 |
| 54 ejin OP @hahafofo “CNNIC发行的中级CA发行了Google的假证书” 这句话在众多相关讨论中算是中立的一句话。我早就说过了,这种事情,找到证据问题就麻烦了,而监管机构和浏览器厂商竟然也对此有监控倒是没想到,所以ff和chrome都做了不小的调整。而且CNNIC证书现在处于有些信任状态,有些不信任。也证实了我之前所说的,监管机构会做出措施,现在没有做出有力的行动,主要也可能是认为没有直接证据证明是CNNIC。(各方媒体添油加醋的报道仔细琢磨会发现,这个中级证书机构是在内企业部颁发测试的,而企业内部一般是避免不了的,一般植入一个CA进去都是很正常的事情,没有比较有力证据扳倒CNNIC)。 至于那个颁发假证书的中级机构MCS公司,当场就直接就被CNNIC秒杀了。这一点来说CNNIC效率还是可以的(部分报道有提到此事)。 |
Select Language