什么CNNIC?
CNNIC是中国互联网的说不清干什么的机构,也是合法的CA机构,可以颁发CA证书,上级主管部门是工信部。
什么是证书?
就是你使用百度、Google搜索时,会发现地址栏是绿的,你登陆到蓝点网的后台,看下地址栏,也是绿色的。这代表该域名启用了HTTPS加密(SSL),使用HTTPS可以提高你使用互联网的安全性、加密你与服务器之间的通信内容,确保你与服务器的通讯数据不被他人窃取。
在这里我们还要提到“中间人攻击”,当前中间人攻击发生的频率已经越来越高,对于已经启用HTTPS的站点,如果该站点被中间人攻击,那么浏览器会显示红色的警告标志,提醒用户不要继续访问。
然而,现在越来越多中间人攻击开始伪造站点的SSL证书,企图来欺骗浏览器从而达到浏览器不报警。
但是这种情况成功实施的概率是小之又小,而一些通过“正规”手段获得的证书,却越来越多。
这里我们引入前几天发生的一个情况:
2015年的3月20日,Google官方博客称发现多个伪造Google域名的假证书,这些证书的颁发机构是中级CA机构–埃及的MCS。而MCS的中级证书则是由中国的CNNIC颁发,而CNNIC作为根CA被几乎所有的操作系统和浏览器所信任,这就导致了Google域名被劫持而浏览器不会发出报警信息,用户便陷入通信数据被窃取的勾当里。
Google联系CNNIC,CNNIC则回应称,中级CA MCS本应该只向它注册的域名发行证书,而在本次事件中,CNNIC向MCS颁发了一个无约束的中级证书,MCS将该证书安装在一个防火墙设备上充当中间人代理,用于执行加密拦截(SSL MITM)。
事后,Google称Chrome浏览器CRLSet更新,Chrome不需要做任何操作,浏览器会对该证书进行拦截。
而Mozilla也迅速回应,Mozilla发言人称,在Firefox 37中,将吊销MCS颁发所有的中级证书。
如果你看完上面觉得还是没明白这到底什么意思,那我们继续举例,以Google旗下邮箱服务Gmail为例:
Gmail网页版也就是http://mail.google.com,该网址使用的是Google自行颁发的证书,这些证书是被浏览器和操作系统信任的,如果你现在还能打开前面的网址,你可以看到地址栏是绿色的HTTPS标志。
众所周知Google、Gmail在中国都无法使用,但如果你可以访问的话,那么你也得注意,浏览器地址栏可能还是绿色的安全标志,但却不一定是真的安全。
上文中提到的由根CA机构CNNIC颁发的中级CA机构埃及MCS伪造的假证书中就有Gmail的,如果你当时访问Gmail,那么你的通信数据可能已经被全部截获。
而这份假证书,根CA是CNNIC,中级CA是MCS,如下图:
如果说到这里你还不明白这有什么问题的话,那我们直说:
CNNIC作为受信任的根CA,如果它愿意,它可以随便伪造国内外任何站点的SSL证书,配合*城防火墙DNS污染,它可以在国内发起对任何网站的中间人攻击、截获通信数据。
你以为它没干过?错了,已经干过了,MCS伪造证书这次就是最新的,之前干过的有兴趣你可以自己去搜索下。
so,我们建议,在你的系统里清除CNNIC证书。
转自:https://www.landiannews.com/archives/15656.html
近期评论