- 2011-4-9 16:46
- 短網址
- 字型大小
-
刪除CNNIC根證書的上網安全教程(更新)
刪除CNNIC根證書的上網安全教程,20110409更新完整教程,內容包括如何刪除(停用)系統或各種流行的瀏覽器中的CNNIC證書的方法,為了上網的安全和安全使用網上銀行帳號等,建議國內和國外用戶都刪除(停用)CNNIC證書。美博園鄭重推薦,這是目前最完整的刪除CNNIC根證書安全上網的教程。
關於刪除不信任的中共證書,這幾篇相關文章都要看: 刪除CNNIC根證書的上網安全教程(更新) - 美博園 https://allinfa.com/delete-cnnic-root.html 為什麼不信任CNNIC根證書 - 美博園 https://allinfa.com/cnnic-root-certification.html 刪除不安全證書: CNNIC、沃通WoSign、StartCom - 美博園 https://allinfa.com/delete-cnnic-wosign-startcom.html
2011-04-09之後:如何刪除(停用)系統或瀏覽器中的CNNIC證書 V1.32
美博園本地下載:刪除CNNIC證書V1.32(deletecnnic.zip)
網路硬碟下載(MediaFire網路硬碟): 刪除CNNIC證書V1.32(deletecnnic.zip)
文件: deletecnnic.zip
大小: 582,639
MD5: 89280F2EAFC2BA7EAD131CBA018581C5
SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5
下面教程中缺Chrome瀏覽器屏蔽CNNIC CA證書的說明,先補充在這裡
Chrome瀏覽器中CNNIC CA的屏蔽方法
第1步、打開Chrome
第2步、點右上角的小起子圖標打開主菜單後點選項。
第3步、在高級設置選項卡拉到最下,會看見證書管理相關選項,點進去。
第4步、進入證書管理頁面後點到「受信任的根證書頒發機構」選項卡,你會看見CNNIC ROOT和Entrust的證書。
第5步、先從CNNIC開始,雙擊「CNNIC ROOT」,在彈出菜單中選 詳細信息===>編輯屬性。
第6步、考量到保不準又會從什麼地方下載CNNIC的證書,所以不建議刪除該證書,只要將其「禁用」就可以了。
第7步、一路確定,退回到證書列表,接著禁用Entrust證書。先從Entrust.net Certification Authority (2048)開始。
請注意:從安全來講,禁用Entrust.net Certification Authority (2048) 最好,但,這個禁用後會出現一個問題,就是登錄推特(twitter)和live.com信箱等不能正常登入,所以,後來考量這個因素,國外常使用推特(twitter)等就不建議禁止。若國內不使用推特(twitter)和live.com信箱等,禁用是最好。
這是因為:除了 CNNIC 自行發布的 CA Cert Root 外, CNNIC 也已經取得 Entrust.net 所發布的次級憑證。所以原則上是要一律移除 CNNIC及其相關的證書。
第8步、選擇「擴展的驗証」選項卡。可以以看到文本框里的一串數字,根據解釋,基本可以確定那個CNNIC的。點選那串數字,然後刪除OID。OK!
第9步、一路確定,剩下的Entrust.net Secure Server Certification Authority同樣方法解決。
補充:需要刪除的 CNNIC 證書包括:
CNNIC ROOT
CNNIC SSL (不是都有這個)
China Internet Network Information Center EV Certificates Root (CNNIC 的新證書)
2011-04-09 之前的文章描述
一、為什麼要刪除(停用)系統中的CNNIC證書(CNNIC根級證書的危害性)
CNNIC就是中國網際網路信息中心,由於其強權霸道的作風,CNNIC 在中國網民中被稱為最大的流氓機構,Firefox和微軟在最近的根證書升級列表裡面將CNNIC列為「受信任的根證書發行機構」。這樣,以後通過https協議(即以前的安全保障ssl加密)訪問經過CNNIC頒發證書的網站將不會覺察到任何告警,用戶也不需要在像安裝某些軟體時導入根證書。因為一些人控制了國內網域服務,隨意封網,咔網,所以它們做一個假的網站對國內用戶攻擊就非常容易了,你的Firefox瀏覽器或IE瀏覽器訪問時不會跳出任何警告而直接讓你去登陸,而以前你的 Firefox會拒絕訪問的,也就是說以前有些人做不到的攻擊現在可以成為現實了。為避免受其害,下面給出解決方法。
二、如何刪除WINDOWS系統中的CNNIC證書
此方法適用於基於微軟CA目錄的瀏覽器,這類瀏覽器包括IE系列(微軟公司)、Chrome(谷歌公司)、Safari(蘋果公司)、Dragon(Comodo公司)
第一步、導入CNNIC證書到證書管理器中的信任區域,並停用證書
1、下載CNNIC證書:
下載CNNIC證書,解壓後,將會得到CNNIC證書的三個文件:
CNNICROOT.crt
CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt(註:序列號37:4A:D2:43)
美博園本地下載證書:CNNIC證書下載
文件: CNNICSSL.rar
大小: 3,439
MD5: 83FC7E194E70669EFF17B25919AF8710
SHA1: A64E2DE444862B894F7E8F2D56E6AE81701EDFBF
2、打開作業系統的證書管理器:
滑鼠點擊 左下角的「開始」---> 「運行」 --->輸入certmgr.msc --->確定
此時已打開Windows的證書管理器。
3、安裝證書到受信任的根證書頒發機構欄目中,然後再停用證書:
分別雙擊這三個文件,會出現安裝界面,按提示安裝,在安裝過程中,一直選中默認的設置即可。
即: 雙擊證書文件-->安裝證書-->下一步--->點選:根據證書類型,自動選擇證書存儲區--->下一步--->完成----提示導入成功。
如果在此完成過程中,系統防火牆出現警告提示,那麼請選擇肯定的答覆是(Y)
安裝後,
CNNIC ROOT和Entrust.net Secure Server Certification Authority位於證書管理器中的在受信任的根證書頒發機構------證書 目錄下,
CNNICSSL在中級證書頒發機構-----證書 目錄下,
(註:在win7中,這三個證書都出現在 中級證書頒發機構-----證書 目錄下)
再停用此三個證書文件
方法是:分別滑鼠右鍵點擊條目---點屬性---屬性菜單打開---選擇停用這個證書的所有目的(I)(註:在win7中,禁用這個證書的所有目的(I))--->確定
第二步、安裝證書到「不信任的證書」區域:
分別雙擊這三個文件按提示安裝,在安裝過程中,一直選中默認的設置:
雙擊文件-->安裝證書-->下一步-->點選:將所有的證書放到下列存儲區域-->瀏覽-->選擇「不信任的證書」-->下一步--->完成----提示導入成功。
如果在此完成過程中,系統提示警告提示,那麼請選擇肯定的答覆是(Y)
第三步、其他說明
◆ 對於微軟的CA目錄的證書修改,大家容易產生歧義。或許要問到為什麼要導入到信任區域,其實這個過程是配合第二步的停用此證書來使用的,因為如果信任區域中如果沒有CNNIC證書的話,那麼在網路活動中,在訪問加密站點時,有可能系統會自動更新證書,使CNNIC證書加入系統中,並激活。如果在信任區域中有此證書但是處於停用狀態的話,就不會自動更新。系統會知道你是不信任此證書的。
◆ 此方法適合於採用微軟CA目錄的瀏覽器,比如:IE、Chrome、Safari、Dragon
三、如何刪除Firefox 中的CNNIC證書
打開Firefox ,點擊工具—>選項—>高級—>加密—>查看證書—>證書機構
找到CNNIC和CNNICSSL項,刪除即可。然後再找到Entrust.net Secure Server Certification Authority項刪除,注意此項可能有二個,刪除序列號37:4A:D2:43的就可以了,查看序列號的方法是選中此項目後,點擊「查看(V)」
特別說明:
1. 默認的Firefox的證書中可能沒有CNNIC SSL,所以為避免其訪問加密站點時自動安裝進來,所以可以先行導入,導入方法是在Firefox的證書管理器中,按導入(M)按鈕後,選取CNNICSSL.CRT,按默認操作導入即可;
2. 在Firefox里對自帶根證書執行「刪除」操作命令,就相當於是禁用其所有目的,並不會將其刪除.
驗証方法是:比如點擊選中CNNIC ROOT 後,再點擊「編輯」按鈕,可以查看到其信任設置框已取消了,即選框中的幾個選項全部沒有選中。
四、如何在opera瀏覽器中刪除CNNIC證書
在Opera瀏覽器中也需要事先導入此三個證書:
方法是:啟動Opera瀏覽器後,點工具—>首選項—>高級—>安全性—>管理證書—>頒發機構—>導入— >需要分別選擇CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt—>安裝,Entrust.net Secure Server Certification Authority安裝後顯示為Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的證書也是在Opera中的證書管理器—>中間證書認證中導入安裝的。
現在開始在Opera中停用此證書:
依次點擊工具—>首選項—>高級—>安全性—>管理證書—>證書頒發機構(或中間證書認證)—>分別雙擊三個證書—>取消「允許連接到使用此證書的網站」 —>確定。
五、為Mac的Safari屏蔽CNNIC根證書
CNNIC也作為Mac的系統根證書存在,我們可以把它設置為「不信任」。那麼當你用Safari打開使用CNNIC簽發的CA證書的網站時,同樣會有提示。
具體方法如下:
1、打開「鑰匙串」,並且在左側面板找到「系統根證書」,然後在右側面板找到「CNNIC」。
2、然後雙擊查看證書,在最上面有「信任」項目,點左邊的三角將其打開。然後按照下圖將證書設置為「永不信任」
3、然後會讓你輸入用戶名和密碼。輸入後確定。這樣,CNNIC就永遠不會被信任了。
六、結果測試
一般按教程步驟操作正確的話,應該就沒有問題了。
七、關於停用CNNIC證書的瀏覽器在線更新問題
請注意,所有停用CNNIC證書的瀏覽器,請繼續保持其在線更新的狀態,以保證瀏覽器處於最安全的狀態,瀏覽器的在線自動更新並不影響已停用的CNNIC證書,CNNIC證書的停用狀態仍然有效。
八、關於CNNIC根級證書三個證書存在狀態的說明
CNNIC的根級證書一共有三個:分別是
CNNIC ROOT
CNNIC SSL
Entrust.net Secure Server Certification Authority(註:序列號37:4A:D2:43)
這三個證書文件在某些系統或是瀏覽器中並不一定會同時存在的,但是,在任何一個情況下,如果只存在其中的任意一個或是任意二個,那麼都得按本文所陳述的方法處理。
九、關於部分銀行網站使用CNNIC簽名問題
對安全性要求較高的用戶可以使用停用了CNNIC證書的瀏覽器來瀏覽海外網站,當不得不用CNNIC的根證書時,(因為國內的一些銀行網站是使用了CNNIC證書的,但不建議在破網的系統里使用網上銀行),可以換用其他沒有停用CNNIC證書的瀏覽器。
如果你經常使用twitter,請參考:
補充:手機上的安全證書
還有手機上面也有好多證書啊,一定要去掉。
設置-安全-更多-受信任的CA
去掉cnnic, china internet network, 以及很多個的entrust證書。
2022-02-02補充:
1、如上,CNNIC的第一個申請的名稱「CNNIC-CNNIC ROOT」,其過期時間是2027年4月16日,這個需要被禁用,早是被關注的重點;
後來,中國網際網路信息中心(CNNIC)又表面上融入國際標準申請了一個「China Internet Network Information Center-china internet network information center ev certificates root」,與CNNIC ROOT一樣,務必禁止!
2、「StartCom」的所有證書,被WoSign沃通收購,需全部禁用
3、「WoSign沃通」的所有證書,需全部禁用
4、香港特別行政區政府的證書 Hong kong Post Root,待觀察是否需要禁止,目前還未傳出災情。
據網友留言,手機上有這些證書,需要全部禁用
CNNIC ROOT
China Internet Network Information Center EV Certificates Root (CNNIC 的新證書)
Entrust.net Secure Server Certification Authority(註:序列號37:4A:D2:43),
StartCom Certification Authority (註:序列號01)
StartCom Certification Authority (註:序列號2D)
StartCom Certification Authority (註:序列號3B)
CA沃通根證書
Certification Authority of WoSign
20220305補充
關於 中國金融認證中心官網電子認證證書
CFCA EV ROOT
組織:China Financial Certification Authority
中國金融認證中心官網電子認證證書
但是,該證書機構已擴展,已由中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構,已可能不是單純的金融證書,中共是無孔不入的,美博建議也刪除之。
原文標題:刪除CNNIC根證書的上網安全教程(更新) - 美博園
美博園文章均為「原創 - 首發」,請尊重辛勞撰寫,轉載請以上面完整鏈接註明來源!
軟體著作權歸原作者!個別轉載文,本站會註明為轉載。
網 友 留 言
36條評論 in “刪除CNNIC根證書的上網安全教程(更新)”這裡是你留言評論的地方
站長好!
三星note4里還有一證書是否要禁用:
公用名:CFCA EV ROOT
組織:China Financial Certification Authority
序列號:18:4A:cc:D6
@小翠 站長好!
我在美博園「刪除不安全證書: CNNIC、沃通WoSign、StartCom」這篇文章的評論里找到了你曾經給其他網友的回復:China Financial Certification Authority
是 中國金融認證中心官網電子認證證書,這個到沒有發現什麼問題,用於金融安全
謝謝!
REPLY
@小翠
是的
@美博園
但是,該證書機構已擴展,已由中國人民銀行和國家信息安全管理機構批准成立的國家級權威安全認證機構,已不是單純的金融證書,美博建議也刪除之。
謝謝提醒。
@美博園 站長好!
謝謝告知!
美博園站長,新年好!
首先謝謝快速的回答! 一點不錯,俺來自牆國,翻牆用的是安卓5.0版本的 三星note3手機!按照你的文章將下列的CNNIC根證書全部禁用,不知是否 完全正確,請指教!
CNNIC ROOT
China Internet Network Information Center EV Certificates Root (CNNIC 的新證書)
Entrust.net Certification Authority (2048)
Entrust.net Secure Server Certification Authority(註:序列號37:4A:D2:43),
StartCom Certification Authority (註:序列號01)
StartCom Certification Authority (註:序列號2D)
StartCom Certification Authority (註:序列號3B)
CA沃通根證書
Certification Authority of WoSign
@真相
新年好!
是的,除了這個 Entrust.net Certification Authority (2048)
其它全部要禁用
@美博園 」 是的,除了這個 Entrust.net Certification Authority (2048)
其它全部要禁用「
站長,還有一點不明白,此篇文章里,在」Chrome瀏覽器中CNNIC CA的屏蔽方法「這一節里,"第七步.一路確定,退回到證書列表,接著禁用Entrust證書。先從Entrust.net Certification Authority (2048)開始。" ???再指教一下!
@真相
從安全來講,禁用Entrust.net Certification Authority (2048) 最好,但,這個禁用後會出現一個問題,就是登錄推特(twitter)和live.com信箱等不能正常登入,所以,後來考量這個因素,就不建議禁止。
若國內不使用推特(twitter)和live.com信箱等,禁用是最好。
Entrust.net證書的安全問題主要在於序列號37:4A:D2:43這個,2048那個不禁用也無問題。
文章中,補充了這段說明。
謝謝您!
@美博園 美博園站長,謝謝您的詳細解答,真得很棒!
安卓手機上面也有好多證書啊,能否詳細說明!謝謝!
@真相
安卓手機因版本不同,設置位置略有變化,大致位置在:
打開手機「設置」 => 安全 => 加密與憑據 => 可以看到很多證書
若看到:
1、CNNIC 證書,全部禁用,但現在國外手機基本上都沒有了,可能某些國內手機有
2、「StartCom」的所有證書,全部禁用
3、「WoSign沃通」的所有證書,全部禁用
@美博園 站長真是一位一絲不苟的人,連第3、里漏打的「禁」字也給補上啦,向您學!
@真相
謝謝鼓勵。其實這些年正是大家的鼓勵和鞭策才能把這塊小園地堅持辦到今天。一起加油!
求系統盤 要國外中文版, 謝謝
你好 有沒有一鍵安裝系統盤
還有手機上面也有好多證書啊,一定要去掉。
設置-安全-更多-受信任的CA
去掉cnnic, china internet network, 以及很多個的entrust證書。
@zzzz
是的,手機上也有證書。補充道文章中了,謝謝
Chrome分析的Google.com證書比較詭異:沒翻牆之前是Thawte SGC CA,翻牆之後是Google Internet Authority......而Gmail始終是Thawte SGC CA.請問這兩個到底哪個是真正的Google證書
@Anthony:
這個事情一直確定不了,可能即使是google出現了問題也不願意大張旗鼓的公開相關信息。以前有一個文章但也無定論:https://www.zuola.com/weblog/2010/01/1430.htm
前不久,google根據各國的政策,調整google的網域轉向和內容,也可能採用不同的證書。但這一點沒有驗証。google官方也沒有說明。不知道有沒有網友知道這個情況。
不管怎樣,保密的信箱和普通信箱分開用,保密的始終用加密代理登錄就好。
另外把gmail facebook twitter等網站的證書頒發機構記下來 每次登陸時核對一下 是不是也能防止證書被替換
@Anthony:
不知道那樣實現是否簡便。最好是做一個乾淨系統,做好系統鏡像,是不是就恢復乾淨系統。瀏覽器也是如此,firefox瀏覽器上綠色的,可能不定期更新,其中只要備份好其書籤即可。
您好 聽說現在Entrust已經將CNNIC從信任列表中刪除了 所以不需要再屏蔽Entrust.net了 是真的嗎 另外支付寶和網銀的數字證書是否也需要刪除
@Anthony:
14.1版中還有,還是需要手工屏蔽。
@美博園:
同時屏蔽cnnic和Entrust的證書嗎 支付寶和網銀的用屏蔽嗎
@Anthony:
1、是的,Entrust是37開頭的那個。如果你使用twitter,請參考:禁用CA證書後twitter訪問不正常的處理 - 美博園
2、支付寶和網銀的,如果你不會用到他們,最好屏蔽。但如果要用到他們,請參考文中說明。
SOS!!!
我安裝的是深度DEEP_GhostXP3_v2012.01系統,在刪除CNNIC時發現受信任的證書還有以下3個:Entrust.net.Certification Authority、Entrust Root Certification Authority-G2、Entrust Root Certification Authority,是否也應一併停用。另,在不受信任的證書里發現該系統已將www.google.com、mail.google.com、addons.mozilla.org、login.skype.com等列入,是否需要用「導出」恢複信任,並在不信任列表中將其刪除。因我一直用無界等翻牆,故現用Google時似未感覺有其他障礙。。。盼復。。。
@JF:
1、刪除後在列表中還是可能有Entrust.net.Certification Authority等的名稱存在這是正常的,刪除後你可以點「證書編輯」,其中的三個選項都沒有勾選上就對了,這表明已經刪除了;
注意:Entrust.netSecureServerCertificationAuthority.crt有二個,刪除的是序列號37:4A:D2:43 ,其他的Entrust開頭的不用管。
2、在不受信任的證書里發現該系統已將www.google.com,也許是為了防止自動轉向到google.cn 。如果不影響你的使用就不用管它;
3、建議:盡量使用微軟原版系統,網上很容易找到,盡量不要使用ghost系統!這種ghost系統是經過改變的,如果沒有可靠的來源,可能存在很不安全的因素。
nocnnic
CNNIC CA根證書移除工具 Remove "CNNIC ROOT" CA certificate
CNNIC_CA根證書移除工具_X53.zip CNNIC_CA根證書移除工具_X53 Featured ; Feb 2010 ;12.7 KB ; https://code.google.com/p/nocnnic/downloads/list
您好,一直期待這樣的工具,要是該項目負責人能夠根據本文教程,並增加win7和ff4,能夠自動刪除瀏覽器和系統中的CNNIC CA根證書,就是大功一件了,謝謝。
很全面,已經喀嚓了cnnic
太好了,晚上回家就把他給咔掉!