中国互联网络信息中心(China Internet Network Information
Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。
其实对于普通网民来说,CNNIC是谁?CA证书是干什么的?我们一概不必去深究,但是可以明确一点,如果你的电脑中有CNNIC的根证书,会发生什么事情呢?
- 中间人攻击
中间人攻击的风险,是最危险的,我在前面提到过ISP通常也会发动中间人攻击。CA证书对于https协议的重要性(可以防止攻击者伪造虚假网站)不用多说。既然CNNIC已经成为合法的CA,那它就能堂而皇之地制作并发布CA证书。然后,再配合进行DNS的域名污染。那就可以轻松搞定任何网站的HTTPS加密传输,包括但不限于支付宝、网上银行、网上购物……。
- ActiveX控件
前些年,恶意软件问题让我们崩溃,这些恶意软件就是通过IE控件的技术,安装到你的电脑上的。后来微软加强了多ActiveX控件的验证:在IE的默认设置下,没有数字签名的ActiveX控件不能安装,但是对于那些有数字签名的控件,则会给出提示后可以安装。CNNIC可以很轻松地给自己的ActiveX控件制作数字证书。然后把控件放到网上。某些粗心的电脑用户看到IE跳出的安装控件提示,多半没细看,直接就点了“确定”按钮。
如何清理CNNIC的CA证书
IE、Chrome、Safari使用的是操作系统的证书体系,然尔Firefox、Opera则使用自带的一套证书体系。你只需要在设置界面,把不要的证书删除即可,下面分不同的浏览器,不同的操作系统,分别介绍。
- 对于使用Windows下的IE或Chrome或Safari浏览器,清除步骤如下:
- 运行Windows的证书管理器(到命令行执行certmgr.msc)。
- 选中“受信任的根证书颁发机构”=>“证书”。
- 查看右边的证书列表,选中CNNIC证书,点右键“删除”。
注:如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。
清理苹果Mac OS的证书(适用Safari、Chrome)
对于使用Mac OS下的Safari或Chrome浏览器,则需要执行如下步骤:请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”,找到CNNIC的证书并双击,改为“永不信任”。
如何确认门户已经清理干净?
为了保险起见,在完成上述的清除工作之后,你需要用浏览器访问一下老流氓的一个网站,地址是 https://www.cnnic.cn 记得用 HTTPS 协议哦。如果你的浏览器报告该网站的证书有问题,那恭喜你,你的门户清理干净了。如果该网站的页面顺利打开,那你就要重新检查一下,看上述操作是否出了差错。