« 前一篇:说说我所臆想的孔子
后一篇:故事一则 »

保护SSL安全 @ 2/2/2010

转贴类
from: http://felixcat.net/2010/01/throw-out-cnnic/

SSL MITM 攻击,即任何一个拥有信任证书的机构(例如:CNNIC),可以随意造一个假的证书给任何网站,替换网站真正的证书,从而在不知不觉间获取用户访问的全部信息。在一般情况下,这个攻击是不重要的,因为浏览器会给出安全警告,但是如果机构获得了CA认证(例如:CNNIC),那么情况就完全不同了,浏览器对它的证书完全信任,不会给我们任何警告。

如下为防御步骤(包括 IE/Chrome/Firefox )。

1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ,或者在下面的操作中没有找到相应的证书,可以从这里下载这三个证书,然后跳到第 5 步: CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2 、打开 Firefox 浏览器,工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)

3 、在 证书机构 (Authorites) 标签页中找到 “CNNIC” 组的 “CNNIC ROOT” 项,按 导出 (Export) (备份到本地),然后 删除 (Delete) 。( 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ,并不会将其删除。)

4 、在 “Entrust.net” 组中找到 “Entrust.net Secure Server Certification Authority”  ( 序列号 37:4A:D2:43 的 ) 和 “CNNIC SSL” 证书,同样导出并删除。(注:这也是 CNNIC 使用的证书)

 5 、打开开始菜单 -> 运行(或者直接按 Win-R )

6 、输入 certmgr.msc ,打开 Windows 的证书管理器。

7 、展开 “不受信任的证书 (Untrusted Certificates) ” ,右键单击其下 “证书 (Certificates)” 项,在 “所有任务 (All Tasks)” 子菜单下单击 “导入 (Import) … ”

8 、分别找到刚才保存的三个证书,依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。

9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

重启 Firefox,打开 https://tns-fsverify.cnnic.cn/https://www.enum.cn/ 网站,保证Firefox 对这两个网站都给出了安全警告,而非正常浏览。

Mac下Safari操作步骤:
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在Spotlight中搜索 “Keychain Access” 或 “钥匙串访问”,打开后搜索CNNIC,在“信任”中标记为“永不信任”~

Opera操作步骤:
Ctrl+F12 -> 安全性 -> 管理证书 -> 证书办法机构 -> CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
发布于 2/2/2010 15:19:23 | 评论:2
pc @ 2/2/2010 15:55:11
很重要……

太重要了。。。。。

估计很快跨国大公司都会批量部署这个策略了。。。。
吴雨 @ 2/3/2010 11:22:41
刚刚发现163邮箱的登录,通过https的,是CNNIC SSL的认证。
垃圾163,禁用了。

看帖要回帖...

categories
archives
links
statistics
  • 网志数:1168
  • 评论数:2011