Solidot

CNNIC根CA证书争论升级

matrix 发表于 2010年2月05日 17时36分 星期五      
来自相信自己部门

Mozilla接受CNNIC根CA证书一事受到了越来越多媒体的关注。/.和lwn.net都讨论了此事。 其中lwn.net的文章最为详尽：添加新CA（Certificate Authority）通常是一件十分平静的事情。浏览器审核小组根据他们的标准，增加通过测试的CA。然而在浏览器更新之后，Firefox用户（虽然很少有用户去看CA列表）发现了Mozilla增加了CNNIC的CA，一场抗议的风暴开始云集。对反对者来说，有无数证据证明CNNIC参与了流氓软件的开发，并且在其政府机构身份上说谎。但政府控制的机构并不意味着Mozilla应该拒绝一个CA。传播流氓软件与其CA身份也不搭搭界......对于让人担忧的假冒SSL证书问题，有人留言称是不可能的“用户的私有密钥一直是在用户自己手中的，CA中心是无法拿到其私钥的，因而不可能假冒”。

«  默多克称廉价电子书将杀死纸质书 | 美国驻华大使回应谷歌  »

相关文章

互联网: 奇虎宣布起诉瑞星 [+]

在争论CNNIC根CA证书安全性问题时候，很多人主张的一个理由是CNNIC曾开发过一个著名的流氓软件“中文上网官方版软件”，但是另一家占领了中国安全市场的公司，其前身却是更为臭名昭著的流氓软件3721。 最近关于奇虎360安全卫士存在后门的争吵颇为热闹，发起争论的主要一方是另一家受人争议的杀毒软件公司瑞星，它在官网上公布了“360本地提权后门详细分析报告(视频演示)”，“安全软件不安全 奇虎360给用户装后门”，而奇虎则公开声明指责瑞星造谣，称已经提起诉讼，并向北京市公安机关报案。奇虎声称后门“实际上是一种高端的反木马侦测、清除与修复技术(Anti-rootkit)。”

软件: Mozilla争论CNNIC根证书的安全性 24 条评论 [+]

在Mozilla开发者邮件列表和Bugzilla(1，2)上，有很多人参与了CNNIC根证书安全性的讨论。 争论的焦点是1）CNNIC的政府组织身份——CNNIC自称是中国科学院下属的中国互联网络信息中心，服务于科学和研究的机构，但很多人指出CNNIC的直接主管是工信部；2）CNNIC帮助展开中间人攻击是否有证据——Mozilla负责安全的开发者认为，在没有证据的情况下，从根证书中移除CNNIC不妥，反对支持移除者的鼓动性言论。支持移除者的主要证据是：CNNIC制作的上网辅助软件“中文上网软件”是公认的流氓软件。

互联网: Firefox和微软已将CNNIC添加到根证书列表中 9 条评论 [+]

SummerWa 写道 "Microsoft和Firefox已经将CNNIC作为根证书颁发机构添加到证书列表中： Microsoft 的PDF
https://bugzilla.mozilla.org/show_bug.cgi?id=47676 6
https://bugzilla.mozilla.org/show_bug.cgi?id=52500 8 出于对某机构的不放心，害怕被"别有用心"的朋友用于劫持SSL会话，许多朋友建议将CNNIC根证书添加到不受信任列表中。 有网友给出了方法。"

• 我的评论怎么从未进入文章过？

  (得分:1)

  cuthead (2701) 发表于 2010年2月05日 18时03分 星期五 (#60101)
  ( 最新日志: 2010年2月08日 19时41分 星期一 )

  M大我把你的行业人士这个词替换成了有人，那些证书知识网上一搜一大把，做过网站的人没人不知道，这也算行业人士的话我们每个人都是行业人士
  证书是不能假冒，但问题是网站变得不可信了。证书申请费用让那些空手套白狼的网站消失，但你知道中国人会干出什么？他们如果去给东北人免费赠送数字证书呢？

  [ 回复本条 ]
  • Re:我的评论怎么从未进入文章过？ by Platinum (得分:1) 2010年2月05日 18时08分 星期五
    • Re:我的评论怎么从未进入文章过？ by cuthead (得分:1) 2010年2月05日 22时02分 星期五
      • Re:我的评论怎么从未进入文章过？ by Platinum (得分:1) 2010年2月06日 19时21分 星期六
    • Re:我的评论怎么从未进入文章过？ by xiaomao101 (得分:1) 2010年2月05日 23时11分 星期五
• 不太懂

  (得分:1)

  jerryofwong (10381) <jerryofwong@gmail.com> 发表于 2010年2月05日 18时30分 星期五 (#60110)
  ( 最新日志: 2010年1月30日 16时30分 星期六 )

  如果DNS劫持+CNNIC，真的没有问题吗？我看了bugzilla，基本上都是反对的声音，发言的不可能都是像我一样的菜鸟吧。

  [ 回复本条 ]
• 我看是那个所谓专业人士不懂

  (得分:1)

  AutoXBC (2250) 发表于 2010年2月05日 19时03分 星期五 (#60115)

  用 gmail 的真证书和真的私钥是盗用证书，这个级别的操作将没有任何漏洞，用户绝对无法察觉，即使是 CNNIC 也做不到这个；但是 CNNIC 违规给 gmail 再签一个证书，这是伪造证书，配合 DNS 劫持是完全做得到中间人攻击的，去抗议的说的都是这个。

  [ 回复本条 ]
  • 根本没有意义 by ShadowII (得分:1) 2010年2月05日 22时33分 星期五
    • Re:根本没有意义 by AutoXBC (得分:1) 2010年2月05日 23时08分 星期五
  • 还有 2 replies 在你当前的门槛设置之下。
• 我只觉得CNNIC很杯具

  (得分:1)

  antianit (1494) 发表于 2010年2月05日 20时22分 星期五 (#60125)

  不过这几年好像CNNIC没有出过流氓软件呢?

  [ 回复本条 ]
  • Re:我只觉得CNNIC很杯具 by antianit (得分:1) 2010年2月05日 20时26分 星期五
    • Re:我只觉得CNNIC很杯具 by notbusy (得分:1) 2010年2月05日 21时06分 星期五
      • Re:我只觉得CNNIC很杯具 by greatfox (得分:1) 2010年2月05日 22时51分 星期五
  • Re:我只觉得CNNIC很杯具 by hohoho (得分:1) 2010年2月06日 04时26分 星期六
  • Re:我只觉得CNNIC很杯具 by konit (得分:2) 2010年2月06日 13时38分 星期六
• 是一种妥协

  (得分:1)

  cuthead (2701) 发表于 2010年2月05日 23时55分 星期五 (#60156)
  ( 最新日志: 2010年2月08日 19时41分 星期一 )

  也许是我们多虑了，至少老外是不会用CNNIC的证书，所以他们只是想让我们方便一下。比起FX我更在意微软的行为，因为国内Win+IE用户大多数，Linux只是小部分。这次CNNIC事件触动国内很多blogger，1 移除CNNIC火候有点大了，这个文章有点像我一样无厘头底下视频很搞笑 [wenzhu.org]，介绍Linux下如何去掉CNNIC [upsuper.org.cn]。还有就是这个事情确实让很大部分看热闹的人知道证书这一回事(和翻墙有异曲同工之妙)。

  [ 回复本条 ]
  • Re:是一种妥协 by cuthead (得分:1) 2010年2月06日 01时37分 星期六
  • Re:是一种妥协 by FatCatHu (得分:1) 2010年2月06日 05时04分 星期六
  • 还有 1 reply 在你当前的门槛设置之下。
• 以前发生的事不能作为撤销 CNNIC 的证

  (得分:1)

  yiding_he (10636) 发表于 2010年2月06日 12时26分 星期六 (#60183)

  因为 Mozilla 对 CNNIC 的评审是在“流氓软件”事情发生之后的。你可以在你的 Firefox 中把 CNNIC 删掉，但除非出现新的证据证明 CNNIC 将证书颁发给了恶意网站，否则 Mozilla 是不会改变决定的。

  [ 回复本条 ]
  • Re:以前发生的事不能作为撤销 CNNIC 的 by konit (得分:2) 2010年2月06日 13时10分 星期六
    • Re:以前发生的事不能作为撤销 CNNIC 的 by yiding_he (得分:1) 2010年2月06日 13时52分 星期六
      • Re:以前发生的事不能作为撤销 CNNIC 的 by konit (得分:2) 2010年2月06日 16时17分 星期六
      • Re:以前发生的事不能作为撤销 CNNIC 的 by yiding_he (得分:1) 2010年2月06日 18时31分 星期六
      • 还有 1 reply 在你当前的门槛设置之下。
  • 东郭先生 by chenyi1976 (得分:1) 2010年2月08日 14时36分 星期一

本站提到的所有注册商标属于他们各自的所有人所有，评论属于其发表者所有，其余内容版权属于 Solidot.org(2009-2012) 所有 。

京ICP证010391号