删除CNNIC根证书的上网安全教程(110409更新)

删除CNNIC根证书的上网安全教程(110409更新)删除CNNIC根证书的上网安全教程,20110409更新完整教程,内容包括如何删除(停用)系统或各种流行的浏览器中的CNNIC证书的方法,为了上网的安全和安全使用网上银行帐号等,建议国内和国外用户都删除(停用)CNNIC证书。美博园郑重推荐,这是目前最完整的删除CNNIC根证书安全上网的教程。

2011-04-09之后:如何删除(停用)系统或浏览器中的CNNIC证书 V1.32

美博园本地下载:删除CNNIC证书V1.32(deletecnnic.zip)

网盘下载(MediaFire网盘): 删除CNNIC证书V1.32(deletecnnic.zip)

文件: deletecnnic.zip
大小: 582,639
MD5: 89280F2EAFC2BA7EAD131CBA018581C5
SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5

下面教程中缺Chrome浏览器屏蔽CNNIC CA证书的说明,先补充在这里

Chrome浏览器中CNNIC CA的屏蔽方法

第1步、打开Chrome
第2步、点右上角的小起子图标打开主菜单后点选项。
第3步、在高级设置选项卡拉到最下,会看见证书管理相关选项,点进去。
第4步、进入证书管理页面后点到“受信任的根证书颁发机构”选项卡,你会看见CNNIC ROOT和Entrust的证书。
第5步、先从CNNIC开始,双击“CNNIC ROOT”,在弹出菜单中选 详细信息===>编辑属性。
第6步、考虑到保不准又会从什么地方下载CNNIC的证书,所以不建议删除该证书,只要将其“禁用”就可以了。
第7步、一路确定,退回到证书列表,接着禁用Entrust证书。先从Entrust.net Certification Authority (2048)开始。
请注意:从安全来讲,禁用Entrust.net Certification Authority (2048) 最好,但,这个禁用后会出现一个问题,就是登录推特(twitter)和live.com信箱等不能正常登入,所以,后来考虑这个因素,国外常使用推特(twitter)等就不建议禁止。若国内不使用推特(twitter)和live.com信箱等,禁用是最好。
这是因为:除了 CNNIC 自行发布的 CA Cert Root 外, CNNIC 也已经取得 Entrust.net 所发布的次级凭证。所以原则上是要一律移除 CNNIC及其相关的证书。
第8步、选择“扩展的验证”选项卡。可以以看到文本框里的一串数字,根据解释,基本可以确定那个CNNIC的。点选那串数字,然后删除OID。OK!
第9步、一路确定,剩下的Entrust.net Secure Server Certification Authority同样方法解决。

补充:需要删除的 CNNIC 证书包括:

CNNIC ROOT
CNNIC SSL (不是都有这个)
China Internet Network Information Center EV Certificates Root (CNNIC 的新证书)

2011-04-09 之前的文章描述

一、为什么要删除(停用)系统中的CNNIC证书(CNNIC根级证书的危害性)

CNNIC就是中国互联网络信息中心,由于其强权霸道的作风,CNNIC 在中国网民中被称为最大的流氓机构,Firefox和微软在最近的根证书升级列表里面将CNNIC列为“受信任的根证书发行机构”。这样,以后通过https协议(即以前的安全保障ssl加密)访问经过CNNIC颁发证书的网站将不会觉察到任何告警,用户也不需要在像安装某些软件时导入根证书。因为一些人控制了国内域名服务,随意封网,咔网,所以它们做一个假的网站对国内用户攻击就非常容易了,你的Firefox浏览器或IE浏览器访问时不会跳出任何警告而直接让你去登陆,而以前你的 Firefox会拒绝访问的,也就是说以前有些人做不到的攻击现在可以成为现实了。为避免受其害,下面给出解决方法。

二、如何删除WINDOWS系统中的CNNIC证书

此方法适用于基于微软CA目录的浏览器,这类浏览器包括IE系列(微软公司)、Chrome(谷歌公司)、Safari(苹果公司)、Dragon(Comodo公司)

第一步、导入CNNIC证书到证书管理器中的信任区域,并停用证书

1、下载CNNIC证书:

下载CNNIC证书,解压后,将会得到CNNIC证书的三个文件:
CNNICROOT.crt
CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt(注:序列号37:4A:D2:43)

美博园本地下载证书:CNNIC证书下载

文件: CNNICSSL.rar
大小: 3,439
MD5: 83FC7E194E70669EFF17B25919AF8710
SHA1: A64E2DE444862B894F7E8F2D56E6AE81701EDFBF

2、打开操作系统的证书管理器:

鼠标点击 左下角的“开始”---> “运行” --->输入certmgr.msc --->确定
此时已打开Windows的证书管理器。

3、安装证书到受信任的根证书颁发机构栏目中,然后再停用证书:

分别双击这三个文件,会出现安装界面,按提示安装,在安装过程中,一直选中默认的设置即可。
即: 双击证书文件-->安装证书-->下一步--->点选:根据证书类型,自动选择证书存储区--->下一步--->完成----提示导入成功。
如果在此完成过程中,系统防火墙出现警告提示,那么请选择肯定的答复是(Y)

安装后,
CNNIC ROOT和Entrust.net Secure Server Certification Authority位于证书管理器中的在受信任的根证书颁发机构------证书 目录下,
CNNICSSL在中级证书颁发机构-----证书 目录下,
(注:在win7中,这三个证书都出现在 中级证书颁发机构-----证书 目录下)

在停用此三个证书文件

方法是:分别鼠标右键点击条目---点属性---属性菜单打开---选择停用这个证书的所有目的(I)(注:在win7中,禁用这个证书的所有目的(I))--->确定

第二步、安装证书到“不信任的证书”区域:

分别双击这三个文件按提示安装,在安装过程中,一直选中默认的设置:
双击文件-->安装证书-->下一步-->点选:将所有的证书放到下列存储区域-->浏览-->选择“不信任的证书”-->下一步--->完成----提示导入成功。

如果在此完成过程中,系统提示警告提示,那么请选择肯定的答复是(Y)

第三步、其他说明

◆ 对于微软的CA目录的证书修改,大家容易产生歧义。或许要问到为什么要导入到信任区域,其实这个过程是配合第二步的停用此证书来使用的,因为如果信任区域中如果没有CNNIC证书的话,那么在网络活动中,在访问加密站点时,有可能系统会自动更新证书,使CNNIC证书加入系统中,并激活。如果在信任区域中有此证书但是处于停用状态的话,就不会自动更新。系统会知道你是不信任此证书的。

◆ 此方法适合于采用微软CA目录的浏览器,比如:IE、Chrome、Safari、Dragon

三、如何删除Firefox 3.6中的CNNIC证书

打开Firefox ,点击工具—>选项—>高级—>加密—>查看证书—>证书机构
找到CNNIC和CNNICSSL项,删除即可。然后再找到Entrust.net Secure Server Certification Authority项删除,注意此项可能有二个,删除序列号37:4A:D2:43的就可以了,查看序列号的方法是选中此项目后,点击“查看(V)”

特别说明:

1. 默认的Firefox的证书中可能没有CNNIC SSL,所以为避免其访问加密站点时自动安装進来,所以可以先行导入,导入方法是在Firefox的证书管理器中,按导入(M)按钮后,选取CNNICSSL.CRT,按默认操作导入即可;

2. 在Firefox里对自带根证书执行“删除”操作命令,就相当于是禁用其所有目的,并不会将其删除.

验证方法是:比如点击选中CNNIC ROOT 后,再点击“编辑”按钮,可以查看到其信任设置框已取消了,即选框中的几个选项全部没有选中。

四、如何在opera浏览器中删除CNNIC证书

在Opera浏览器中也需要事先导入此三个证书:

方法是:启动Opera浏览器后,点工具—>首选项—>高级—>安全性—>管理证书—>颁发机构—>导入— >需要分别选择CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt—>安装,Entrust.net Secure Server Certification Authority安装后显示为Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的证书也是在Opera中的证书管理器—>中间证书认证中导入安装的。

现在开始在Opera中停用此证书:

依次点击工具—>首选项—>高级—>安全性—>管理证书—>证书颁发机构(或中间证书认证)—>分别双击三个证书—>取消“允许连接到使用此证书的网站” —>确定。

五、为Mac的Safari屏蔽CNNIC根证书

CNNIC也作为Mac的系统根证书存在,我们可以把它设置为“不信任”。那么当你用Safari打开使用CNNIC签发的CA证书的网站时,同样会有提示。

具体方法如下:
1、打开“钥匙串”,并且在左侧面板找到“系统根证书”,然后在右侧面板找到“CNNIC”。
2、然后双击查看证书,在最上面有“信任”项目,点左边的三角将其打开。然后按照下图将证书设置为“永不信任”
3、然后会让你输入用户名和密码。输入后确定。这样,CNNIC就永远不会被信任了。

六、结果测试

一般按教程步骤操作正确的话,应该就没有问题了。

七、关于停用CNNIC证书的浏览器在线更新问题

请注意,所有停用CNNIC证书的浏览器,请继续保持其在线更新的状态,以保证浏览器处于最安全的状态,浏览器的在线自动更新并不影响已停用的CNNIC证书,CNNIC证书的停用状态仍然有效。

八、关于CNNIC根级证书三个证书存在状态的说明

CNNIC的根级证书一共有三个:分别是
CNNIC ROOT
CNNIC SSL
Entrust.net Secure Server Certification Authority(注:序列号37:4A:D2:43)

这三个证书文件在某些系统或是浏览器中并不一定会同时存在的,但是,在任何一个情况下,如果只存在其中的任意一个或是任意二个,那么都得按本文所陈述的方法处理。

九、关于部分银行网站使用CNNIC签名问题

对安全性要求较高的用户可以使用停用了CNNIC证书的浏览器来浏览海外网站,当不得不用CNNIC的根证书时,(因为国内的一些银行网站是使用了CNNIC证书的,但不建议在破网的系统里使用网上银行),可以换用其他没有停用CNNIC证书的浏览器。


如果你经常使用twitter,请参考:

禁用CA证书后twitter访问不正常的处理 - 美博园

補充:手機上的安全證書

还有手机上面也有好多证书啊,一定要去掉。

设置-安全-更多-受信任的CA

去掉cnnic, china internet network, 以及很多个的entrust证书。

2022-02-02补充:

1、如上,CNNIC的第一个申请的名称“CNNIC-CNNIC ROOT”,其过期时间是2027年4月16日,这个需要被禁用,早是被关注的重点;
后来,中国互联网络信息中心(CNNIC)又表面上融入国际标准申请了一个“China Internet Network Information Center-china internet network information center ev certificates root”,与CNNIC ROOT一样,务必禁止!

2、“StartCom”的所有证书,被WoSign沃通收购,需全部禁用

3、“WoSign沃通”的所有证书,需全部禁用

4、香港特别行政区政府的证书 Hong kong Post Root,待观察是否需要禁止,目前还未传出灾情。

据网友留言,手机上有这些证书,需要全部禁用
CNNIC ROOT
China Internet Network Information Center EV Certificates Root (CNNIC 的新证书)
Entrust.net Secure Server Certification Authority(注:序列号37:4A:D2:43),
StartCom Certification Authority (注:序列号01)
StartCom Certification Authority (注:序列号2D)
StartCom Certification Authority (注:序列号3B)
CA沃通根证书
Certification Authority of WoSign

20220305補充

關於 中國金融認證中心官網電子認證證書
CFCA EV ROOT
組織:China Financial Certification Authority
中國金融認證中心官網電子認證證書

但是,該證書機構已擴展,已由中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構,已可能不是單純的金融證書,中共是無孔不入的,美博建議也刪除之。

原文链接:https://allinfa.com/delete-cnnic-root.html
原文标题:删除CNNIC根证书的上网安全教程(110409更新) - 美博园
美博园文章均为“原创 - 首发”,请尊重辛劳撰写,转载请以上面完整链接注明来源!
软件版权归原作者!个别转载文,本站会注明为转载。

网 友 留 言

36条评论 in “删除CNNIC根证书的上网安全教程(110409更新)”
  1. 小翠

    站长好!
    三星note4里还有一证书是否要禁用:
    公用名:CFCA EV ROOT
    组织:China Financial Certification Authority
    序列号:18:4A:cc:D6

  2. 真相

    美博园站长,新年好!
    首先谢谢快速的回答! 一点不错,俺来自墙国,翻墙用的是安卓5.0版本的 三星note3手机!按照你的文章将下列的CNNIC根证书全部禁用,不知是否 完全正确,请指教!
    CNNIC ROOT
    China Internet Network Information Center EV Certificates Root (CNNIC 的新证书)
    Entrust.net Certification Authority (2048)
    Entrust.net Secure Server Certification Authority(注:序列号37:4A:D2:43),
    StartCom Certification Authority (注:序列号01)
    StartCom Certification Authority (注:序列号2D)
    StartCom Certification Authority (注:序列号3B)
    CA沃通根证书
    Certification Authority of WoSign

    • 美博园

      @真相
      新年好!
      是的,除了这个 Entrust.net Certification Authority (2048)
      其它全部要禁用

      • 真相

        @美博园 ” 是的,除了这个 Entrust.net Certification Authority (2048)
        其它全部要禁用“
        站长,还有一点不明白,此篇文章里,在”Chrome浏览器中CNNIC CA的屏蔽方法“这一节里,"第七步.一路确定,退回到证书列表,接着禁用Entrust证书。先从Entrust.net Certification Authority (2048)开始。" ???再指教一下!

    • 美博园

      @真相
      从安全来讲,禁用Entrust.net Certification Authority (2048) 最好,但,这个禁用后会出现一个问题,就是登录推特(twitter)和live.com信箱等不能正常登入,所以,后来考虑这个因素,就不建议禁止。
      若国内不使用推特(twitter)和live.com信箱等,禁用是最好。
      Entrust.net证书的安全问题主要在于序列号37:4A:D2:43这个,2048那个不禁用也无问题。
      文章中,补充了这段说明。
      谢谢您!

  3. 真相

    安卓手机上面也有好多证书啊,能否详细说明!谢谢!

    • 美博园

      @真相
      安卓手机因版本不同,设置位置略有变化,大致位置在:
      打开手机“设置” => 安全 => 加密与凭据 => 可以看到很多证书
      若看到:
      1、CNNIC 证书,全部禁用,但现在国外手机基本上都没有了,可能某些国内手机有
      2、“StartCom”的所有证书,全部禁用
      3、“WoSign沃通”的所有证书,全部禁用

  4. zixue

    求系统盘 要国外中文版, 谢谢

  5. 你好 有没有一键安装系统盘

  6. zzzz

    还有手机上面也有好多证书啊,一定要去掉。
    设置-安全-更多-受信任的CA
    去掉cnnic, china internet network, 以及很多个的entrust证书。

  7. Anthony

    Chrome分析的Google.com证书比较诡异:没翻墙之前是Thawte SGC CA,翻墙之后是Google Internet Authority......而Gmail始终是Thawte SGC CA.请问这两个到底哪个是真正的Google证书

    • 美博园

      @Anthony:
      这个事情一直确定不了,可能即使是google出现了问题也不愿意大张旗鼓的公开相关信息。以前有一个文章但也无定论:https://www.zuola.com/weblog/2010/01/1430.htm

      前不久,google根据各国的政策,调整google的域名转向和内容,也可能采用不同的证书。但这一点没有验证。google官方也没有说明。不知道有没有网友知道这个情况。

      不管怎样,保密的信箱和普通信箱分开用,保密的始终用加密代理登录就好。

  8. Anthony

    另外把gmail facebook twitter等网站的证书颁发机构记下来 每次登陆时核对一下 是不是也能防止证书被替换

    • 美博园

      @Anthony:
      不知道那样实现是否简便。最好是做一个干净系统,做好系统镜像,是不是就恢复干净系统。浏览器也是如此,firefox浏览器上绿色的,可能不定期更新,其中只要备份好其书签即可。

  9. Anthony

    您好 听说现在Entrust已经将CNNIC从信任列表中删除了 所以不需要再屏蔽Entrust.net了 是真的吗 另外支付宝和网银的数字证书是否也需要删除 

  10. JF

    SOS!!!
    我安装的是深度DEEP_GhostXP3_v2012.01系统,在删除CNNIC时发现受信任的证书还有以下3个:Entrust.net.Certification Authority、Entrust Root Certification Authority-G2、Entrust Root Certification Authority,是否也应一并停用。另,在不受信任的证书里发现该系统已将www.google.com、mail.google.com、addons.mozilla.org、login.skype.com等列入,是否需要用“导出”恢复信任,并在不信任列表中将其删除。因我一直用无界等翻墙,故现用Google时似未感觉有其他障碍。。。盼复。。。

    • 美博园

      @JF:
      1、删除后在列表中还是可能有Entrust.net.Certification Authority等的名称存在这是正常的,删除后你可以点“证书编辑”,其中的三个选项都没有勾选上就对了,这表明已经删除了;
      注意:Entrust.netSecureServerCertificationAuthority.crt有二个,删除的是序列号37:4A:D2:43 ,其他的Entrust开头的不用管。

      2、在不受信任的证书里发现该系统已将www.google.com,也许是为了防止自动转向到google.cn 。如果不影响你的使用就不用管它;

      3、建议:尽量使用微软原版系统,网上很容易找到,尽量不要使用ghost系统!这种ghost系统是经过改变的,如果没有可靠的来源,可能存在很不安全的因素。

  11. Andrzeja

    nocnnic
    CNNIC CA根证书移除工具 Remove "CNNIC ROOT" CA certificate
    CNNIC_CA根证书移除工具_X53.zip CNNIC_CA根证书移除工具_X53 Featured ; Feb 2010 ;12.7 KB ; https://code.google.com/p/nocnnic/downloads/list

    • 美博园

      您好,一直期待这样的工具,要是该项目负责人能够根据本文教程,并增加win7和ff4,能够自动删除浏览器和系统中的CNNIC CA根证书,就是大功一件了,谢谢。

  12. ZH

    很全面,已经喀嚓了cnnic

  13. 一试

    太好了,晚上回家就把他给咔掉!

这里是你留言评论的地方


请留言


8 + 6 =
【您可以使用 Ctrl+Enter 快速发送】
Copyright © 2007 - 2022 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】