Google 宣布旗下产品不再信任 CNNIC 根证书 + CNNIC 的回应
goodbest · 2015-04-02 13:22:54 +08:00 · 9361 次点击这是一个创建于 3313 天前的主题,其中的信息可能已经有所发展或是发生改变。
谷歌的声明:(最下方Update 1)
http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html?m=0
请自行翻译,或者参考该中文译文
http://www.solidot.org/story?sid=43556
CNNIC的回应
https://www.cnnic.net.cn/gywm/xwzx/xwzxtzgg/201504/t20150402_52050.htm
一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
二、CNNIC将切实保障已有用户的使用不受影响。
我的评论:
多行不义必自毙
第 1 条附言 · 2015-04-02 14:45:22 +08:00
我已经看到chrome起作用了。
第 2 条附言 · 2015-04-02 14:49:11 +08:00
好吧,我搞错了,这个不能算是起作用。
 |
1
liuchen9586 2015-04-02 13:25:04 +08:00
简直NICE!
|
 |
2
raincious 2015-04-02 13:27:39 +08:00
> 一、CNNIC对谷歌公司做出的决定表示难以理解和接受
呵呵呵。让你不小心。 |
 |
3
jimwoo 2015-04-02 13:37:36 +08:00
又能解释一下两家公司的关系吗???没看懂!!!CNNIC颁发证书关谷歌什么事?
|
 |
5
myang 2015-04-02 13:44:40 +08:00
CNNIC will implement Certificate Transparency for all of their certificates prior to any request for reinclusion. We applaud CNNIC on their proactive steps, and welcome them to reapply once suitable technical and procedural controls are in place.
我觉得cnnic重新进入信任列表应该不会用太久,我还是手动保持不信任吧…… |
 |
6
DADiao 2015-04-02 13:45:06 +08:00
一、并敦促谷歌公司充分考虑和保障用户权益。
谷歌明显正在这么做 |
 |
7
sdysj 2015-04-02 13:46:11 +08:00
对流氓就是要狠狠地惩罚!!!
|
 |
8
lxrabbit 2015-04-02 13:46:19 +08:00
这不算重复发帖么
|
 |
11
sneezry 2015-04-02 14:00:26 +08:00
我想知道怎么保障
|
|
12
sneezry 2015-04-02 14:01:48 +08:00
我刚刚脑洞大开了一下,360会不会又趁机发布“补丁”解决Chrome无法正常显示CNNIC签发证书的网站……
|
 |
13
Biwood 2015-04-02 14:08:21 +08:00
 哈哈,真迅速 |
|
14
Biwood 2015-04-02 14:10:18 +08:00
额,是我自己撤销的原因,还是因为谷歌做了什么?
|
 |
16
zhujinliang 2015-04-02 14:23:15 +08:00
搞笑的是CNNIC这个页面用谷歌浏览器根本打不开。。。提示证书不被信任。。。
|
 |
17
lisonfan 2015-04-02 14:24:11 +08:00
 |
|
18
lisonfan 2015-04-02 14:25:20 +08:00
表示在我所有的电脑都屏蔽了CNNIC证书了
|
 |
19
phoenixlzx 2015-04-02 14:29:07 +08:00
表示 OSX 的 Chrome 是最新版但是还信任的...
|
 |
20
lausius 2015-04-02 14:34:42 +08:00
firefox快跟上吧。
|
 |
21
typcn 2015-04-02 14:47:24 +08:00  1
你那个不是起作用了,是他使用了 SHA1 的证书
起作用的话应该是红色的证书错误提示页面 |
 |
22
seki 2015-04-02 14:48:55 +08:00
sha1 + 1
|
 |
23
davidyin 2015-04-02 14:49:15 +08:00
信用破产,就不被信任了。
重建信任,需要的时间会很久。 |
 |
24
wzxjohn 2015-04-02 14:49:26 +08:00
所有提示页面不信任的显然是自己不信任了 CNNIC 的根,这样的话要是能信任才怪呢。
还有,楼主你贴出来的这个图没有任何意义。Chrome 提示这个是因为这个证书是 SHA-1 的证书,跟本次事件毫无关系。 |
 |
25
Daddy 2015-04-02 15:16:13 +08:00
|
|
26
Daddy 2015-04-02 15:22:09 +08:00
@Biwood
@lisonfan 你们是吊销了CNNIC的证书吧,还是姿势不对,我刚更新最新稳定版本(32位)还是正常打开。 你们又能打开 https://www.22.cn ? 这货就是CNNIC证书,早就警告过他们了 |
 |
27
infinte 2015-04-02 15:27:16 +08:00
@Daddy 已有的网站证书不受影响(可能不少中级证书也没问题),但不信任新颁发的。
嘛对于「监管不力」(这是现在唯一能定的罪,「CNNIC 指使 MCS 做假证书」没有证据可以证明它)也算是合理的反制了。 |
|
28
Daddy 2015-04-02 15:48:02 +08:00
@infinte 你说的不对。我另一台机刚也升级到最新的稳定版本(64位),经过测试,无论32还是64,最新稳定版本,都能正常打开cnnic和22的网站,没有楼上那些不信任的提示啊
|
|
30
Daddy 2015-04-02 16:05:37 +08:00
@infinte 楼上13/17楼的截图就是打开已有的CNNIC网站的声明网页。 当然他们还没回应是否是他们自己吊销了CNNIC证书,我就是想弄清楚。
|
|
31
infinte 2015-04-02 16:19:41 +08:00
@Daddy 另外现在尚不清楚「白名单」针对的是三级证书还是中级证书——CNNIC 的「罪名」是「监管不力导致什么阿猫阿狗都能当中级 CA,他们要是干坏事那还了得」,考虑到中国小网站太多而中级 CA 并不多(主要就是一个 CNNIC SSL),给中级 CA 建白名技术上更可行。
|
 |
32
yksoft1 2015-04-02 16:25:57 +08:00
Secure Connection Failed
An error occurred during a connection to www.22.cn. Invalid OCSP signing certificate in OCSP response. (Error code: sec_error_ocsp_invalid_signing_cert) The page you are trying to view cannot be shown because the authenticity of the received data could not be verified. Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site. 我自己编译的firefox上22.cn会这样。一直手动从mozilla-central/security/nss/lib/ckfw/builtins/certdata.txt删除cnnic相关的内容 |
 |
33
iwhich 2015-04-02 16:45:22 +08:00
来龙去脉可以看看可能吧的一篇文章“最危险的互联网漏洞正在逼近”
https://kenengba.com/post/3336.html 概括来说就是“DNS 劫持+权威机构颁发的伪造证书” 开一下脑洞,YGBM规定所有国内网站都必须使用CNNIC证书会怎样?不知道是否有这种权力 |
 |
34
xierch 2015-04-02 16:58:19 +08:00
已有的、被列入白名单的证书,暂时还会允许连接
但是地址栏不会有绿锁,并且会提示将在以后的版本中移除 https://twitter.com/yegle/status/583504668916973568 只是为了尽量减少对现有用户的影响吧,让网站那边有时间切换到其他 CA |
|
35
xierch 2015-04-02 16:59:33 +08:00
另外我好奇啊,CNNIC 要怎样才能「保障已有用户的使用不受影响」?
|
 |
36
manihome 2015-04-02 17:05:03 +08:00
好样子的 国内那些狗屁信誉认证啥时候也让浏览器厂商来一击
|
 |
37
lzmbbg 2015-04-02 17:17:22 +08:00
我擦,还充分考虑用户感受,你MB的国内能访问的了么?
|
 |
42
Suclogger 2015-04-02 17:26:43 +08:00
/Users/suclogger/Desktop/屏幕快照 2015-04-02 下午5.25.26.png
|
 |
43
xrui 2015-04-02 17:36:18 +08:00 via Android
CNNIC对谷歌公司做出的决定表示难以理解和接受,并对谷歌的做法表示赞同与肯定
|
 |
44
mtglichking 2015-04-02 18:04:23 +08:00
仔细看原文的话,就能发现只要 CNNIC 加入 Certificate Transparency,谷歌就会重新信任 CNNIC。CNNIC 也承诺会加入 Certificate Transparency。所以也没什么大不了的了……
|
 |
45
Wice 2015-04-02 21:23:00 +08:00
好像奇客的那篇文章没了……(http://www.solidot.org/story?sid=43556)
|
 |
46
holinhot 2015-04-02 21:23:35 +08:00
|
|
47
Daddy 2015-04-02 21:44:40 +08:00
|
|
51
Daddy 2015-04-02 22:36:15 +08:00
|
 |
52
breeswish 2015-04-03 08:57:37 +08:00
@iwhich 很好奇为什么很多人都把 MCS 颁发了 Google 的证书看成是 CNNIC 做的。CNNIC 有管理责任但根本不是执行主体。那篇 kenengba.com 的文章这一点「权威机构 CNNIC 为什么要伪造证书?」这个问题本身都不成立。另外那篇文章也完全没说大范围 DNS 劫持如何实现:「可能 CNNIC 内部有1-2名员工,试图入侵他们的粉丝–苍井空老师的 Gmail 帐号,但苦于 Gmail 实在太难破解,只好出此下策」即使是 gov 层面,在一般情况下也只能影响到国内吧。
|
 |
55
padthai 2015-04-03 10:53:46 +08:00
确实cnnic参与过中间人攻击
网络恐怖分子 和北邮方癌们 哼哈啊 吼吼 |
|
57
iwhich 2015-04-03 11:13:03 +08:00
@breeswish 因为不是互联网从业者,所以对具体详情并不了解,说说个人理解,请勿见笑。
首先,MCS集团的中级证书来自中国的CNNIC,如你所说,起码CNNIC负有管理责任, CNNIC 签发了 MCS 证书仍然是问题出现的根本原因。PS.无根据的猜测下,MCS集团为什么要伪造证书呢?真的跟CNNIC没关系? 其次,对CNNIC的不信任由来已久了,Google在大陆遭受的待遇有目共睹的,而“CNNIC的行政主管部门有两个,一是中共中央网络安全和信息化领导小组办公室,还有一个是国家互联网信息办公室,两个办公室的“办公室主任”都是鲁炜,但他的主力顶戴却是中宣部副部长。@Justso_CN”,联系到曾经的Gmail钓鱼事件,很难让人不产生不好的联想。 第三,没说大范围 DNS 劫持如何实现,有可能是作者也不知道如何实现,也可能是比较复杂,没法三言两语解释清楚,anyway,他没有说不代表不能实现,在Github被攻击前,又有谁知道会通过JS手段来实现呢? 第四,他是不是仅仅影响国内不太了解,退一步讲,即是真的仅仅局限于国内,也够用了,很多目标用户也都是在国内的,不能因为打击面不够广就以为他不会打击 |
 |
58
xfabs 2015-04-03 13:03:27 +08:00
不信任cnnic的证书后,怎么在Chrome里访问网站提示不安全无法访问时添加例外?毕竟有个别网站用的是国内的
|
Select Language