下述摘錄自: Untrustable CCNIC SSL CA
CCNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CCNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CCNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中文上網官方版軟體這種事。
由於 CCNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CCNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。
另一種更可能的情境是,在中國境內連 Gmail 時,由於 CCNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。
CNNIC 憑證的結論
- 結論: 盡快把 CNNIC 的憑證從系統移除.
於 Debian、Ubuntu Linux 移除 CNNIC 憑證
方法1
- sudo dpkg-reconfigure ca-certificates
- 選 Ask
- 將 mozilla/Entrust.net_Secure_Server_CA.crt 前面的 * 拿掉.
方法2
- sudo vim /etc/ca-certificates.conf
mozilla/Entrust.net_Secure_Server_CA.crt
改成 (前面加 “!” 號)
!mozilla/Entrust.net_Secure_Server_CA.crt - sudo update-ca-certificates
於 Firefox 刪除 CNNIC 憑證
- 編輯 -> 偏好設定 -> 進階 -> 加密
- 檢視憑證清單 -> 憑證機構
- 將 Entrust.net 下面的全部選起來, 按 “刪除” 即可.
相關網頁
- 在 Linux 上移除 CNNIC 憑證 – 此篇有非常清楚的說明.
- 移除 CNNIC 憑證 on Linux
You can subscribe by e-mail to receive news updates and breaking stories.
Arthur on 
ooDD on 
cytales on 
Wallace on 
RLam on 