V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
goodbest
V2EX  ›  分享发现

Google 宣布旗下产品不再信任 CNNIC 根证书 + CNNIC 的回应

  •  3
     
  •   goodbest · 2015-04-02 13:22:54 +08:00 · 9633 次点击
    这是一个创建于 3531 天前的主题,其中的信息可能已经有所发展或是发生改变。

    谷歌的声明:(最下方Update 1)
    http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html?m=0
    请自行翻译,或者参考该中文译文
    http://www.solidot.org/story?sid=43556

    CNNIC的回应
    https://www.cnnic.net.cn/gywm/xwzx/xwzxtzgg/201504/t20150402_52050.htm
    一、CNNIC对谷歌公司做出的决定表示难以理解和接受,并敦促谷歌公司充分考虑和保障用户权益。
    二、CNNIC将切实保障已有用户的使用不受影响。

    我的评论:
    多行不义必自毙

    第 1 条附言  ·  2015-04-02 14:45:22 +08:00
    我已经看到chrome起作用了。


    第 2 条附言  ·  2015-04-02 14:49:11 +08:00
    好吧,我搞错了,这个不能算是起作用。
    58 条回复    2015-04-03 13:03:27 +08:00
    liuchen9586
        1
    liuchen9586  
       2015-04-02 13:25:04 +08:00
    简直NICE!
    raincious
        2
    raincious  
       2015-04-02 13:27:39 +08:00
    > 一、CNNIC对谷歌公司做出的决定表示难以理解和接受

    呵呵呵。让你不小心。
    jimwoo
        3
    jimwoo  
       2015-04-02 13:37:36 +08:00
    又能解释一下两家公司的关系吗???没看懂!!!CNNIC颁发证书关谷歌什么事?
    jemyzhang
        4
    jemyzhang  
       2015-04-02 13:42:40 +08:00
    @jimwoo 伪造多个google域名的证书, 你说有没有关系?
    myang
        5
    myang  
       2015-04-02 13:44:40 +08:00
    CNNIC will implement Certificate Transparency for all of their certificates prior to any request for reinclusion. We applaud CNNIC on their proactive steps, and welcome them to reapply once suitable technical and procedural controls are in place.

    我觉得cnnic重新进入信任列表应该不会用太久,我还是手动保持不信任吧……
    DADiao
        6
    DADiao  
       2015-04-02 13:45:06 +08:00
    一、并敦促谷歌公司充分考虑和保障用户权益。

    谷歌明显正在这么做
    sdysj
        7
    sdysj  
       2015-04-02 13:46:11 +08:00
    对流氓就是要狠狠地惩罚!!!
    lxrabbit
        8
    lxrabbit  
       2015-04-02 13:46:19 +08:00
    这不算重复发帖么
    goodbest
        9
    goodbest  
    OP
       2015-04-02 13:54:35 +08:00
    @lxrabbit 我认为不算,前一个帖子只是给出了CNNIC的回应,而回应的原因没给出。
    lxrabbit
        10
    lxrabbit  
       2015-04-02 13:59:22 +08:00
    @goodbest 首页"不再信任 CNNIC 根证书"和 "CNNIC 的回应"都有好吧
    sneezry
        11
    sneezry  
       2015-04-02 14:00:26 +08:00
    我想知道怎么保障
    sneezry
        12
    sneezry  
       2015-04-02 14:01:48 +08:00
    我刚刚脑洞大开了一下,360会不会又趁机发布“补丁”解决Chrome无法正常显示CNNIC签发证书的网站……
    Biwood
        13
    Biwood  
       2015-04-02 14:08:21 +08:00


    哈哈,真迅速
    Biwood
        14
    Biwood  
       2015-04-02 14:10:18 +08:00
    额,是我自己撤销的原因,还是因为谷歌做了什么?
    goodbest
        15
    goodbest  
    OP
       2015-04-02 14:12:02 +08:00
    @lxrabbit 对不起,因为实在没看到。
    zhujinliang
        16
    zhujinliang  
       2015-04-02 14:23:15 +08:00
    搞笑的是CNNIC这个页面用谷歌浏览器根本打不开。。。提示证书不被信任。。。
    lisonfan
        17
    lisonfan  
       2015-04-02 14:24:11 +08:00
    lisonfan
        18
    lisonfan  
       2015-04-02 14:25:20 +08:00
    表示在我所有的电脑都屏蔽了CNNIC证书了
    phoenixlzx
        19
    phoenixlzx  
       2015-04-02 14:29:07 +08:00
    表示 OSX 的 Chrome 是最新版但是还信任的...
    lausius
        20
    lausius  
       2015-04-02 14:34:42 +08:00
    firefox快跟上吧。
    typcn
        21
    typcn  
       2015-04-02 14:47:24 +08:00   ❤️ 1
    你那个不是起作用了,是他使用了 SHA1 的证书

    起作用的话应该是红色的证书错误提示页面
    seki
        22
    seki  
       2015-04-02 14:48:55 +08:00
    sha1 + 1
    davidyin
        23
    davidyin  
       2015-04-02 14:49:15 +08:00
    信用破产,就不被信任了。
    重建信任,需要的时间会很久。
    wzxjohn
        24
    wzxjohn  
       2015-04-02 14:49:26 +08:00
    所有提示页面不信任的显然是自己不信任了 CNNIC 的根,这样的话要是能信任才怪呢。
    还有,楼主你贴出来的这个图没有任何意义。Chrome 提示这个是因为这个证书是 SHA-1 的证书,跟本次事件毫无关系。
    Daddy
        25
    Daddy  
       2015-04-02 15:16:13 +08:00
    Daddy
        26
    Daddy  
       2015-04-02 15:22:09 +08:00
    @Biwood
    @lisonfan

    你们是吊销了CNNIC的证书吧,还是姿势不对,我刚更新最新稳定版本(32位)还是正常打开。 你们又能打开 https://www.22.cn ? 这货就是CNNIC证书,早就警告过他们了
    infinte
        27
    infinte  
       2015-04-02 15:27:16 +08:00
    @Daddy 已有的网站证书不受影响(可能不少中级证书也没问题),但不信任新颁发的。
    嘛对于「监管不力」(这是现在唯一能定的罪,「CNNIC 指使 MCS 做假证书」没有证据可以证明它)也算是合理的反制了。
    Daddy
        28
    Daddy  
       2015-04-02 15:48:02 +08:00
    @infinte 你说的不对。我另一台机刚也升级到最新的稳定版本(64位),经过测试,无论32还是64,最新稳定版本,都能正常打开cnnic和22的网站,没有楼上那些不信任的提示啊
    infinte
        29
    infinte  
       2015-04-02 15:55:41 +08:00 via Android
    @Daddy 已有的不影響
    Daddy
        30
    Daddy  
       2015-04-02 16:05:37 +08:00
    @infinte 楼上13/17楼的截图就是打开已有的CNNIC网站的声明网页。 当然他们还没回应是否是他们自己吊销了CNNIC证书,我就是想弄清楚。
    infinte
        31
    infinte  
       2015-04-02 16:19:41 +08:00
    @Daddy 另外现在尚不清楚「白名单」针对的是三级证书还是中级证书——CNNIC 的「罪名」是「监管不力导致什么阿猫阿狗都能当中级 CA,他们要是干坏事那还了得」,考虑到中国小网站太多而中级 CA 并不多(主要就是一个 CNNIC SSL),给中级 CA 建白名技术上更可行。
    yksoft1
        32
    yksoft1  
       2015-04-02 16:25:57 +08:00
    Secure Connection Failed

    An error occurred during a connection to www.22.cn. Invalid OCSP signing certificate in OCSP response. (Error code: sec_error_ocsp_invalid_signing_cert)

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.

    我自己编译的firefox上22.cn会这样。一直手动从mozilla-central/security/nss/lib/ckfw/builtins/certdata.txt删除cnnic相关的内容
    iwhich
        33
    iwhich  
       2015-04-02 16:45:22 +08:00
    来龙去脉可以看看可能吧的一篇文章“最危险的互联网漏洞正在逼近”
    https://kenengba.com/post/3336.html
    概括来说就是“DNS 劫持+权威机构颁发的伪造证书”

    开一下脑洞,YGBM规定所有国内网站都必须使用CNNIC证书会怎样?不知道是否有这种权力
    xierch
        34
    xierch  
       2015-04-02 16:58:19 +08:00
    已有的、被列入白名单的证书,暂时还会允许连接
    但是地址栏不会有绿锁,并且会提示将在以后的版本中移除
    https://twitter.com/yegle/status/583504668916973568

    只是为了尽量减少对现有用户的影响吧,让网站那边有时间切换到其他 CA
    xierch
        35
    xierch  
       2015-04-02 16:59:33 +08:00
    另外我好奇啊,CNNIC 要怎样才能「保障已有用户的使用不受影响」?
    manihome
        36
    manihome  
       2015-04-02 17:05:03 +08:00
    好样子的 国内那些狗屁信誉认证啥时候也让浏览器厂商来一击
    lzmbbg
        37
    lzmbbg  
       2015-04-02 17:17:22 +08:00
    我擦,还充分考虑用户感受,你MB的国内能访问的了么?
    lisonfan
        38
    lisonfan  
       2015-04-02 17:17:55 +08:00
    @Daddy 打不开
    lisonfan
        39
    lisonfan  
       2015-04-02 17:18:16 +08:00
    @Daddy 这是一个什么网站?
    ctsed
        40
    ctsed  
       2015-04-02 17:18:29 +08:00
    @sneezry 360也凑合了,两方面考虑,不至于被一方势力一招致命。均衡才是王道。
    kbs
        41
    kbs  
       2015-04-02 17:19:57 +08:00
    @xierch
    google给CNNIC已签发的证书列入白名单,给了个缓冲的时间。
    Suclogger
        42
    Suclogger  
       2015-04-02 17:26:43 +08:00
    /Users/suclogger/Desktop/屏幕快照 2015-04-02 下午5.25.26.png
    xrui
        43
    xrui  
       2015-04-02 17:36:18 +08:00 via Android
    CNNIC对谷歌公司做出的决定表示难以理解和接受,并对谷歌的做法表示赞同与肯定
    mtglichking
        44
    mtglichking  
       2015-04-02 18:04:23 +08:00
    仔细看原文的话,就能发现只要 CNNIC 加入 Certificate Transparency,谷歌就会重新信任 CNNIC。CNNIC 也承诺会加入 Certificate Transparency。所以也没什么大不了的了……
    Wice
        45
    Wice  
       2015-04-02 21:23:00 +08:00
    好像奇客的那篇文章没了……(http://www.solidot.org/story?sid=43556)
    holinhot
        46
    holinhot  
       2015-04-02 21:23:35 +08:00
    Daddy
        47
    Daddy  
       2015-04-02 21:44:40 +08:00
    @lisonfan 国内域名注册商,易名的有力竞争者。

    @louishothot 无语了,估计被CNNIC绑定了。
    holinhot
        48
    holinhot  
       2015-04-02 21:47:08 +08:00
    @Daddy 不通过我的ssl认证不给你代理权
    DADiao
        49
    DADiao  
       2015-04-02 22:17:55 +08:00
    @iwhich 国内!比如网易邮箱HTTPS都不是,还存在强制CNNIC的必要?
    DADiao
        50
    DADiao  
       2015-04-02 22:32:27 +08:00
    @sneezry CNNIC被撤的消息墙内是禁止传播的,如果360,,,就等于大范围传播了。
    Daddy
        51
    Daddy  
       2015-04-02 22:36:15 +08:00
    breeswish
        52
    breeswish  
       2015-04-03 08:57:37 +08:00
    @iwhich 很好奇为什么很多人都把 MCS 颁发了 Google 的证书看成是 CNNIC 做的。CNNIC 有管理责任但根本不是执行主体。那篇 kenengba.com 的文章这一点「权威机构 CNNIC 为什么要伪造证书?」这个问题本身都不成立。另外那篇文章也完全没说大范围 DNS 劫持如何实现:「可能 CNNIC 内部有1-2名员工,试图入侵他们的粉丝–苍井空老师的 Gmail 帐号,但苦于 Gmail 实在太难破解,只好出此下策」即使是 gov 层面,在一般情况下也只能影响到国内吧。
    sunyang
        53
    sunyang  
       2015-04-03 10:25:14 +08:00
    @breeswish 你的blog chrome解析不正常,你去看看吧
    iwhich
        54
    iwhich  
       2015-04-03 10:41:53 +08:00
    @breeswish 不是很了解,仅仅只是看到过这篇文章,我能否将你的疑问复制到可能吧哪里询问下?
    padthai
        55
    padthai  
       2015-04-03 10:53:46 +08:00
    确实cnnic参与过中间人攻击

    网络恐怖分子

    和北邮方癌们 哼哈啊

    吼吼
    padthai
        56
    padthai  
       2015-04-03 10:56:11 +08:00
    @iwhich

    有可能

    这些东西没底线的

    所有偶移民了要
    iwhich
        57
    iwhich  
       2015-04-03 11:13:03 +08:00
    @breeswish 因为不是互联网从业者,所以对具体详情并不了解,说说个人理解,请勿见笑。

    首先,MCS集团的中级证书来自中国的CNNIC,如你所说,起码CNNIC负有管理责任, CNNIC 签发了 MCS 证书仍然是问题出现的根本原因。PS.无根据的猜测下,MCS集团为什么要伪造证书呢?真的跟CNNIC没关系?

    其次,对CNNIC的不信任由来已久了,Google在大陆遭受的待遇有目共睹的,而“CNNIC的行政主管部门有两个,一是中共中央网络安全和信息化领导小组办公室,还有一个是国家互联网信息办公室,两个办公室的“办公室主任”都是鲁炜,但他的主力顶戴却是中宣部副部长。@Justso_CN”,联系到曾经的Gmail钓鱼事件,很难让人不产生不好的联想。

    第三,没说大范围 DNS 劫持如何实现,有可能是作者也不知道如何实现,也可能是比较复杂,没法三言两语解释清楚,anyway,他没有说不代表不能实现,在Github被攻击前,又有谁知道会通过JS手段来实现呢?

    第四,他是不是仅仅影响国内不太了解,退一步讲,即是真的仅仅局限于国内,也够用了,很多目标用户也都是在国内的,不能因为打击面不够广就以为他不会打击
    xfabs
        58
    xfabs  
       2015-04-03 13:03:27 +08:00
    不信任cnnic的证书后,怎么在Chrome里访问网站提示不安全无法访问时添加例外?毕竟有个别网站用的是国内的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.