cht電腦資訊網路
adm Find login register

Firefox 3.6 內建 CNNIC 憑證

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
1subject: Firefox 3.6 內建 CNNIC 憑證Promote 1 Bookmark 02010-02-03quote  
Rex's blah blah blah: 在 Linux 上移除 CNNIC 憑證

一月底開始,一些朋友開始討論 Firefox 3.6 中,將置入 CNNIC 的 CA 憑證。這件事情是去年年底,CNNIC 對 Firefox 申報納入 CNNIC 的憑證 (#476766),目前已於 3.6 版中內建 CNNIC 憑證。

目前此事已經在 Mozilla Security Policy mailing list 公開討論,在華人網路社群也引起一陣騷動。像是 AutoProxy 等社群都提出 CNNIC CA:最最最嚴重安全警告!。在原提案 #476766 中亦有人整理了一些客觀事實。

...

CNNIC 過去最大的爭議即是曾經發布過中文上網官方版軟體,名為提供中文網址導引服務,實質則包含流氓軟體的功能,主要功能是一般輔助上網軟體,但核心卻用 rootkit 技術讓你無法刪除,與木馬/病毒程式一般。雖說這只是一項前科,但是中國政府持續拿著民族主義、國家安全為藉口,實施數種網路管制,甚至滲透國外企業、政府網路,根本是合法的網路流氓。而 CNNIC 背後支持的政府組織是中華人民共和國工業和信息化部、中國科學院、中國科學院計算機網絡信息中心 等中國政府組織。很難說,哪一天 CNNIC 不會被控制作為攻擊工具之一。

除了 CNNIC 自行發布的 CA Cert Root 外,其實 CNNIC 也已經取得 Entrust.net 所發布的次級憑證。建議所有台灣政府單位,一律移除 CNNIC 相關憑證。

若你覺得此事關係重大,可以以投票方式附議 Bug 542689 – Please Remove “CNNIC ROOT” root certificate from NSS,提高該問題的被重視程度。

中標了,趕快來移除哦~

eliu

joined: 2007-08-09
posted: 11482
promoted: 617
bookmarked: 187
新竹, 台灣
2subject: Promote 0 Bookmark 02010-02-04quote  

目前 windows firefox 3.6 沒看到 CNNIC,

不過我還是把 Entrust.net 的刪除了

企鵝狂
joined: 2008-04-01
posted: 185
promoted: 20
bookmarked: 7
3subject: Promote 0 Bookmark 02010-02-04quote  

OS X 有內建,移除之後chrome跟safari還是一樣沒有警告。

Firefox移除掉之後他又自己跑出來(Minefield)

所以就暫時不用管他了,我沒有在上什麼中國網站,除非DNS被駭才比較有可能遭殃。 

eliu

joined: 2007-08-09
posted: 11482
promoted: 617
bookmarked: 187
新竹, 台灣
4subject: Promote 0 Bookmark 02010-02-04quote  

企鵝狂
Firefox移除掉之後他又自己跑出來(Minefield)

真的又跑回去了,沒力

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
5subject: Promote 0 Bookmark 02010-02-04quote  

刪掉以後,自己會在跑回來 (Win7 + Firefox 3.6),可是連到使用 Entrust 的網站,變成會警告了,這樣應該正常吧?

(原本直接連過去,不會警告)

  大紀元教學

edited: 2
guest
6subject: Promote 0 Bookmark 02010-02-04quote  

某篇教學裡有說,在firefox裏面按刪除並不會真的刪掉,

只是會讓那一項憑證沒作用,等於按編輯後3個項目都不勾。

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
7subject: Promote 0 Bookmark 02010-02-17quote  

chrome 5.0.307.7beta (on Debian) 可以看 ENUM 試驗平台 (使用 CNNIC Root Cert)

chrome 的管理憑證圖形介面好像還沒做 (或者不打算做?)

在選項裡頭點「管理憑證」,會出現一個網頁:
Configuring SSL certificates on Linux
看起來好像頗麻煩

caleb
joined: 2007-09-22
posted: 630
promoted: 134
bookmarked: 90
8subject: Promote 0 Bookmark 02010-02-18quote  
coolcd
chrome 5.0.307.7beta (on Debian) 可以看 ENUM 試驗平台 (使用 CNNIC Root Cert)

chrome 的管理憑證圖形介面好像還沒做 (或者不打算做?)

CNNIC 事件爆出來時 chromium 就已經正常了,如圖「雖然我現在是用 5.0.331.0 (Developer Build 39266) 截圖」

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
9subject: Promote 0 Bookmark 02010-02-18quote  

有點怪,昨天明明還會直接連,可現在再試,已經會出現 caleb 提供的畫面了。

我沒有更動 Chrome CA 的任何設定

guest
10subject: 跟安全性有關的題外話Promote 0 Bookmark 02010-02-22quote  

跟安全性有關的題外話:

中資承包政府標案 資訊不設防

http://www.libertytimes.com.tw/2010/new/feb/22/today-t2.htm

鼎新電腦 一月變為中資企業

國內主要企業 多為鼎新客戶

過去十年 承作政府逾200件案

 

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
11subject: Promote 0 Bookmark 02010-02-23quote  

一下子出現了兩個擴充套件可用

coolcd
joined: 2008-01-21
posted: 2601
promoted: 348
bookmarked: 95
12subject: Promote 0 Bookmark 02010-03-27quote  
跟進谷歌 美2網路商撤出中國

...

美國國會及行政部門中國問題委員會(Congressional-Executive Commission on China)前天針對中國網路審查辦聽證會,Go Daddy執行副總裁瓊斯(Christine Jones)作證時說,該公司2005年4月獲中國互聯網絡信息中心(CNNIC)授權,提供.cn域名登記,目前管理2.7萬個.cn域名。

瓊斯指出,CNNIC原本就強制域名註冊商呈交域名申請者全名、地址、電話號碼及電郵位址,去年底更要求註冊商向顧客索取彩色大頭照、身分證明及簽名的申請表格,揚言若申請者拒絕提供,網站可能遭關閉。Go Daddy擔心這些規定會形成寒蟬效應,因此決定停止.cn域名註冊。

...

cht電腦資訊網路
adm Find login register
views:33206