CNNIC,中国互联网络信息中心。一个很官方的机构,一个管理CN域名的机构,一个自称独立运营的机构,一个天天发评测说网瘾很泛滥的机构,一个“发誓”保护未成年人免受互联网“伤害”的机构,是一个开发出中国第二流氓软件”CNNIC中文上网”的机构,现在居然进入了国际互联网信任体系的核心,获取了颁发CA证书的权限。
先发张图,刚刚官网下载的中文上网软件,可以看到数字签名写得很清楚,看看MD5和SHA1,我没有骗人,原汁原味的中文上网软件。
在贴一个地址,Virus Total网站对该文件的实时在线扫描报告,综合了目前世界上绝大多数的杀毒软件,点此查看报告,可以看到MD5和SHA1和我的截图一致,看看有多少报告病毒的吧。
现在你知道CNNIC是什么机构了吧?我们可以信任吗?
而就是这样一个机构,却在最近获得了颁发CA证书的权利,也就是说,它可以为任何网站颁发用于加密访问的证书,比如银行、邮箱、股票,等等。现在已知的,163的邮箱,SSL加密方式连接已使用CNNIC证书。
这意味着什么呢?只要一下命令,所有国内的银行,邮箱加密通道,证券交易等等,全部都更新为CNNIC证书,国内的互联网的信任便完全掌握在CNNIC手中。用浏览器访问CNNIC证书的加密网站,不会弹出任何提示,没有任何警告。你想访问Gmail,可以被不知不觉劫持到一个网站,由于使用CNNIC证书,你在访问该网站时浏览器不会有任何警告,当你轻松输入账户和密码,还在窃喜这次登录怎么如何顺畅时,对不起,你的帐号已经被盗。这一切你不会有任何察觉。
那么有人说了,为什么Firefox和微软要把CNNIC这个臭名昭著的机构列为受信任的根证书颁发机构呢?原因很简单,因为CNNIC的申请程序合法,运营情况合乎要求,固定时间有audit等等,具体的我说不清楚,IS学security and audit的应该有所了解。CNNIC申请的时候完全不提中文上网的那档子事情,只强调,作为中国最大的域名提供和管理商,最权威的互联网机构,有资格担任该角色。并且,
Innocent until proven guilty.
外国人最信这个了,在没有切实攻击证据之前,任何理由,任何推理,任何不信任,都是站不住脚的。这个攻击离我们比较遥远,但若任凭温水煮青蛙,恐怕这一天也不那么遥远了。
最后说说删除或者将CNNIC手动列为不信任的Pros and Cons:
Pros:互联网仍然是可以信任的
Cons: 国内一些邮箱用不了,到后来可能银行也用不了,城大的University Wifies, Eduroam, CityU WaveLan用不了(因为同时要屏蔽Entrust,它也认证CNNIC证书,这个原理复杂一些)
如果放任呢?
Pros: Everything unchanged,该怎么上网就怎么上网
Cons: Great LAN.
就说到这里。
五年后,CNNIC果然露出了狐狸尾巴
http://googleonlinesecurity.blogspot.com/2015/03/maintaining-digital-certificate-security.html
是的,注定会发生,江山易改本性难移。