今天回家第一件事：一网打尽CNNIC的证书 太特么贱了

malazhumao

shmyd: CNNIC已经顾不上最后的遮羞布，伪造冒充Google域名的证书对google进行中间人攻击，劫持HTTPS网络通信，获取Google账号密码和通讯内容，是时候坚决删除CNNIC证书了。这里有个全平台的可疑证书自动清除工具https://t.co/xjU84JCBH2

关于CNNIC的流氓轶事请参阅： http://program-think.blogspot.com/2010/02/remove-cnnic-cert.html

cloud226

对国外用户有影响吗？

oldboy

这是什么时候的事情？

igetit

搞清楚再说，不要瞎传一些幼稚的东西：

Google周一谴责埃及的MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。MCS在周三对此谴责作出了回应。MCS声称它是埃及及中东地区的一家大型安全产品分销商，与许多国际知名安全公司有过合作，它是在3月11日与CNNIC签署了正式的演示协议去测试计划引入中东地区的云端安全服务，3月19日它从CNNIC获得了有效期为两周的中级证书，同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上，防火墙有一个充当SSL转发代理的主动策略，自动为浏览的域名生成证书。在周五和周六一位IT工程师使用 Google Chrome 浏览网站结果防火墙自动生成了Google域名的证书，而浏览器将假的证书信息报告给了Google。MCS称，它在收到CNNIC的事故通知后立即从防火墙删除了证书，表示这是一次人为的失误。

跟你删除的证书没有关系

malazhumao

中国封杀有关CNNIC发布中间人证书的文章

文/GreatFire
日前，谷歌发现在多个未授权的针对谷歌域名的电子证书，而这些证书的根证书属于中国互联网络信息中心（CNNIC）。谷歌和Mozilla（火狐）分别公开了这一安全事件，就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间人攻击证书文章的中文翻译，则在中国被勒令删除。

中国著名IT博客“月光博客”不加任何评论，将谷歌的文章翻译成中文。在谷歌和百度上用中文搜索“CNNIC中间人攻击”，他的这篇文章都是搜索的首个结果。3月26日，他在推特上表示，新闻办打电话给他， 要求立即删除他的这篇文章。原文 http://www.williamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。


中国官媒环球将Mozilla的文章翻译成中文并发表。该文章 http://tech.huanqiu.com/news/2015-03/5997225.html 也被删除。但谷歌缓存仍然存在。

中国科技新闻网站CNBeta对Mozilla的文章进行了报道，报道文章 http://www.cnbeta.com/articles/379765.htm 也被删除。

中国最大的IT社区网站CSDN对Mozilla文章的中文翻译 http://news.csdn.net/article.html?arcid=15823317 被删除。

这再次突出CNNIC参与了中国网络审查。CNNIC曾进行网络审查，而且正在、也将继续进行网络审查。Greatfire再次呼吁谷歌、Mozilla、微软和苹果立即取消对CNNIC的信任，以保护全球网民的用户信息。

本文英文版原载于Greatfire，中文版经授权由泡泡编译，文中观点不代表泡泡立场

附：月光博客被删文章

谷歌称CNNIC发布中间人攻击证书
根据谷歌官方安全博客报道，谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。

该证书冒充成受信任的谷歌的域名，被用于部署到网络防火墙中，用于劫持所有处于该防火墙后的HTTPS网络通信，而绕过浏览器警告。

谷歌联系了CNNIC，CNNIC在3月22日回应称，CNNIC向MCS发行了一个无约束的中级证书，MCS本应该只向它拥有的域名发行证书，但 MCS将其安装在一个防火墙设备上充当中间人代理，伪装成目标域名，用于执行加密连接拦截（SSL MITM）。企业如出于法律或安全理由需要监控员工的加密连接，必须限制在企业内网中，然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证 书，这种做法严重违反了证书信任系统的规则。这种解释符合事实，然而，CNNIC还是签发了不适合MCS持有的证书。



CNNIC作为根CA被几乎所有操作系统和浏览器信任，谷歌已经将这些情况通知了所有的主流浏览器，谷歌所有版本的Chrome浏览器（包括 Windows、OS X、Linux版）、Firefox浏览器都会拦截这些证书，Firefox从37版开始引入OneCRL机制，建立证书黑名单，拦截被滥用及不安全的证书。

这件事情再次显示，互联网证书颁发机制公开透明的必要性。

谷歌英文博客原文：Maintaining digital certificate security

Mozilla英文博客原文：Revoking Trust in one CNNIC Intermediate Certificate

参考资料：中国互联网络信息中心（China Internet Network Information Center，缩写为CNNIC），是经中华人民共和国国务院主管部门批准，于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立 伊始，由中国科学院主管；2014年末，改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。

https://pp.global.ssl.fastly.net/article/403

malazhumao

苹果iCloud在中国遭中间人攻击
国内媒体(官方新华社的一个微博帐号)和国外媒体（如Ars和/.）都广泛报道了苹果iCloud在中国遭到了中间人攻击（MITM），攻击者使用了自签名证书，自签名证书在中国相当盛行，如在铁道部火车票网站上购买火车票必须接受它的自签名证书。

评论普遍认为，中国不像美国政府那样试图掩盖中间人攻击，而中国流行的360安全浏览器实际上是允许中间人攻击发生。苹果尚未对此发表声明，但它已经修改了DNS，被攻击的IP地址不再使用。

Greatfire称，此次对iCloud的中间人攻击，与此前对谷歌、Github和雅虎的攻击不同。此次对苹果的攻击，是为了盗取用户的登录名和密码，以及储存在iCloud上的所有数据，包括iMessage、照片、联络人等。 此次对苹果的攻击是全国性的，且发生在iPhone 6在中国开售首日（10月18日）。

Greatfire认为，为防御中间人攻击，中国网民首先要在电脑和移动设备上使用可靠的浏览器：Firefox和Chrome在某网站遭中间人攻击时，都会阻止用户通向该网站。而奇虎360浏览器则没有安全防范，会直接打开受中间人攻击的网页。如果用户忽略了安全提示，就应该使用不受干扰的方式来连接iCloud。用户可以通过VPN、或者不同的网络连接点，因为中国防火墙的中间人攻击并不稳定。用户还应该启用iCloud账户的两步认证法。这样，即使密码被盗取，iCloud账户也将受到保护。

malazhumao

谷歌在中国教育网遭国家级中间人攻击
percy 星期四, 9月 04, 2014 发布
What happened?

从2014年8月28日起，有网友在微博和Google＋上报告说，当部分大陆网友试图在中国教育网（CERNET）内连接google.com和google.com.hk等网页时，均收到SSL证书错误的提示（SSL证书是用于加密HTTP数据传输的证明）。这意味着谷歌在教育网上受到中间人攻击（MITM attack）。



从今年6月4日开始，谷歌的绝大多数服务在中国遭封锁，但在中国教育科研网内并未受到干扰。在新学期开学之际，谷歌在教育网上遭到中间人攻击。中国网络审查监测组织Greatfire相信，攻击是由中国政府发起的。

在维基百科上，将“中间人攻击”的定义为一种主动性的监听：

中间人攻击是指，攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。

Why?

Greatfire相信，当局有足够的动机，对谷歌发动中间人攻击。谷歌于2014年3月12日开始开始对中国以及全球各地的默认搜索启用https加密搜索。换句话说，用户与谷歌之间的信息传输都默认加密。只有终端用户和谷歌服务器知道所搜索并被返回的内容。中国的防火墙只能看到用户连接上了谷歌的服务器，并不知道传输的数据内容。这也意味着，当局无法对谷歌进行逐条封锁，因此只能将谷歌全盘封锁。到目前为止，这种封锁发生在中国的公共互联网上，但还未发生在教育网中。

中国政府深知，如果中国要在科研领域取得进展和创新，中国的科研人员必须能够通过谷歌来连接到大量的信息。也正因为这个原因，中国教育网长期都少受到网络审查的干扰。在教育网内，中国用户请正常访问在5月30日被封锁的Google服务，包括Gmail。与此形成强烈对比的是，在中国的公共网络上，谷歌学术搜索被封，该网站的中文版将用户导流到香港版的站点上，但香港版的谷歌学术搜索也在大陆被封。

在上个月之前，在教育网上连接谷歌几乎并未遭到干扰。但本届政府已展示出其在各个战线上控制互联网与信息的决心。当局并没有在教育网上直接封锁谷歌，因为这很可能招致全国学生、教师以及科研人员的反感。当局选择在教育网内对谷歌发动中间人攻击，这样一来，学生和科研人员能继续使用谷歌，而当局又可以监听并有选择地拦截搜索请求以及结果。

这并非中国当局首次发动中间人攻击。在2013年1月，中国政府曾发动了针对Github的中间人攻击，波及全国。

Has it happened before?

At the beginning of last year, the Chinese authorities staged a country-wide MITM attack on Github.

攻击会再次发生吗？

Greatfire表示，由于加密的网络服务增加，当局很可能会更多地使用中间人攻击。

攻击细节

已有多名用户报告，在教育网内连接谷歌均收到伪造地SSL证书。软件安全公司Netresec曾做过有关GItHub在中国遭中间人攻击地全面分析。Netresec分析了Greatfire发送的以下截图后表示，所有证据表明，中国教育网与谷歌之间地信息交通正在受到中间人攻击。发动中间人攻击地机器很可能在教育网与其他网络地对等连接处发送数据帧。Netresec将在近期内发布全面分析报告。


Greatfire采用网民的以下报告来进行分析。Solidot的这篇报道也引用了同样的报告。



这个截图显示，当用户使用Chrome浏览器连接谷歌时，收到了SSL证书错误的提示。由于谷歌启用了强制安全传输（HSTS），Chrome和Firefox浏览器禁止用户避开这个提示。


该用户还比较了他在正常连接情况下收到的证书（左）和在遭中间人攻击情况下连接时收到的证书（右）。



Google＋上的相关报道

https://plus.google.com/u/0/1158 ... 4/posts/EGW4NEd7z3N

https://plus.google.com/+duffJiang/posts/Dk5LrD7CiWM  

用户该怎么做

当你看到证书错误提示时，千万不要将其点开。用户应该使用Firefox或Chrome浏览器，这两个浏览器禁止用户点开启用了强制安全传输的网站（如谷歌和Github）。如果你点开了警告，你的谷歌账户凭据信息可能被盗窃，这意味这你的Gmail邮件可以被攻击者一览无遗。


用户可以通过谷歌的镜像网站来连接谷歌。谷歌在6月份被中国封锁后，Greatfire设立了一个谷歌镜像网站。到目前为止，已有超过100万中国用户使用了我们的“自由谷歌”网站和其他无法在中国被封锁的镜像。

malazhumao

微软 Outlook 在中国遭受中间人攻击
在 2015.01.20 由 Sarah Perez (@sarahintampa) 发布


More
下一篇文章

在 中国屏蔽谷歌 Gmail 服务 几周后，网络审查监控组织 GreatFire.org 在今天早晨发布的一篇 报道 称，微软电子邮件系统 Outlook 最近在中国也遭受了“中间人”攻击。此类攻击是指攻击者让自己置身于受害者的网络连接中，中继传输消息，而受害人还以为自己在使用安全、私密的网络连接。同时，攻击者可以阅读中继的所有内容。

GreatFire.org 在 1 月 17 日收到了这一攻击存在的报告后，亲自验证了这一攻击。GreatFire.org 报道称，Outlook 的 IMAP 和 SMTP 协议受到影响，但微软 Outlook 服务的网站界面并未受到影响（即 Outlook.com 和 Login.live.com 未受影响）。

报道称，此次攻击持续了大约一天，然后就停止了。

受影响用户的电子邮件客户端中会显示警告消息，不过这些警告信息并不像网络浏览器显示的警告信息一样让人忧虑，也就是说，一些用户可能还没有意识到发生了这样一次攻击。比如，在 GreatFire.org 发布的一张截图中，iPhone 的警告消息显示为“无法验证服务器身份”，同时询问用户是否要继续。然而，当 GreatFire.org 在火狐浏览器上重现这一结果时，浏览器显示的消息却要详细得多，称这一错误可能表示“有人正试图假冒该网站，不应继续浏览”。

pngbase64e960dbfd2f2a04a5

outlook-mitm

在此次攻击中，只有当电子邮件客户端尝试自动收取新消息时，用户才能看到弹出的警告消息。在大多数情况下，用户都会简单地按下“继续”来关闭这一消息，大概还会归罪为网络问题。但这么做了之后，他们的电子邮件、联系人和密码都可以被攻击者记录下来。

png_base64ef2d4a24151afb2

这个自签名的证书可能来自中国互联网络信息中心（CNNIC），该中心由中央网信办主管，此次攻击可能是此前中国发生的中间人攻击的延续。

GreatFire.org 表示：“考虑到此次针对 Outlook 攻击的危险性质，我们再次强烈建议微软和苹果等公司立即取消对 CNNIC 证书权威性的信任。”

下面就是中国用户通过电子邮件客户端访问 Outlook 时的情况：

此次攻击距离 中国屏蔽 Gmail 还不到一个月，尽管现在用户访问 Gmail 的情况 有所好转 ，但在中国依然无法访问。此前，中国也对谷歌、雅虎和苹果发起过中间人攻击。

GreatFire.org 在其报道中称：“我们再次怀疑鲁炜及中央网信办策划了这起攻击或者默认这次攻击进行。如果我们的指控无误，此次攻击预示着中国官方试图进一步破坏其无法监控的通讯手段。”

微软对此事的声明如下：

“我们意识到一小群用户受到了恶意路由至伪造 Outlook.com 网站的影响。如果用户看到证书警告，他们应该联系其互联网服务提供商进行协助。”

malazhumao

不用再举例了， CNNIC这货已经被我永不信任 管他是有意无意技术失误还是天灾人祸这货签发证书的一概不认

中国国家防火墙对GitHub进行了中间人攻击
安全
blackhat (19032)发表于 2013年01月26日 21时43分 星期六        新浪微博分享 腾讯分享 豆瓣分享 人人分享 网易分享
来自ISP随时准备行动部门
陈少举 写道
" 在密码学和计算机安全领域中，中间人攻击是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的。

北京时间2013年1月26日20时左右，中国大陆的用户访问GitHub遇到SSL证书无效警告，但是使用境外加密代理或VPN则正常，GitHub Status也未报告任何问题。有人推测，这次攻击疑似中国国家网络防火墙进行的SSL中间人攻击，攻击者使用OpenSSL生成了一个RSA 1024Bit的自签署X.509证书，证书生成时间为2013年01月25日14时29分12秒，有效期一年。有网友将证书提取并公开到了网上，同时，也有人将劫持过程的网络数据包抓包并公布。此次攻击持续了大约一个小时，然后恢复正常。

在2011年，就有人报告过出现SSL中间人攻击，Skype登录网站被定向到“北京市公安局网络安全保卫处”。 "

oed

这个太专业了，很少有人看的明白

ylbeethoven

中间人是啥

DIGITALFUN

能说的通俗一点吗？是什么个情况？

oed

DIGITALFUN 发表于 2015-3-28 09:51
能说的通俗一点吗？是什么个情况？

中间人攻击，打个比方，就是你打电话给朋友，但是你的电话线其实已经被转接到攻击者那里，并且攻击者能冒充你朋友的声音，让你以为是你真正的朋友在说话。

IT民工之西井

我理解的意思就是，攻击者靠这种手段窃取用户信息

Chen3rd

我已经在电脑和android手机上屏蔽了CNNIC和什么WoSign的根证书。可惜iPhone上面没法修改证书

jerryclark

太没有底线了

fuleinist

我的第一反应是：同学，360浏览器删了没？

symeteor

早就把CNNIC干掉了，垃圾一个
PS：这周开始gfw开始对境外用户，修改百度统计的代码，来ddos github。。。太贱了

先锋

请问如何使用者工具呢,谢谢.
是否与最近无法打开youtube有关呢.老是显示证书不对.

malazhumao

谷歌宣布全线吊销CNNIC根证书
文/William Long
谷歌在其安全博客上发布声明，经过谷歌对CNNIC证书事件的调查，谷歌将会在旗下所有产品里删除对CNNIC证书的信任，在过渡期内，现有的CNNIC用户将以白名单方式继续使用CNNIC证书一段时间。

早先，埃及的证书机构MCS集团发布了针对谷歌域名的假证书，而这些证书都是由CNNIC颁发的，据信这些假证书可能被用于中间人代理，拦截用户和目标网站的加密信息。

谷歌表示，如果CNNIC实施技术及流程改进杜绝此前发生的证书伪造事件，可以重新申请加入。现有CNNIC证书客户将暂时以白名单形式继续支持一段时间作为过渡。

在谷歌宣布旗下产品删除CNNIC根证书之后，CNNIC发表声明回应。声明称，CNNIC对谷歌公司做出的决定表示难以理解和接受，并敦促谷歌公司充分考虑和保障用户权益。CNNIC将切实保障已有用户的使用不受影响。

谷歌产品吊销CNNIC根证书对用户的影响
在过渡期内，对已经发布的CNNIC证书，谷歌产品会继续支持，在谷歌下个版本的产品更新后，使用Chrome的用户将不再信任CNNIC证书，无法访问使用该证书的网站，谷歌原生Android用户使用内置浏览器也会出现同样效果。鉴于 目前使用CNNIC证书的网站并不多，因此对中国用户并无太大影响。

sun2012

CNNIC被埃及公司害了

anthcho

sun2012 发表于 2015-4-3 13:18
CNNIC被埃及公司害了

你真的这样想？

smiledog

是打开网页经常跳出来的那个警告窗口？

还是要求更新 的那个窗口？

malazhumao

Mozilla也吊销CNNIC，哈哈哈

wzyboy: https://t.co/ruQ8ja3dJu 2010 年要求移除 CNNIC ROOT 的那个 ticket 沉寂了几年，现在 Mozilla 自己发博客打脸了，下面多了一堆「I told you so」的评论… http://t.co/6pOiNo0mvV


Distrusting New CNNIC Certificates

kwilson
70
APR
2
2015
Last week, Mozilla was notified that a Certificate Authority (CA) called CNNIC had issued an unconstrained intermediate certificate, which was subsequently used by the recipient to issue certificates for domain names the holder did not own or control (i.e., for MitM). We added the intermediate certificate in question to Firefox’s direct revocation system, called OneCRL, and have been further investigating the incident.

After reviewing the circumstances and a robust discussion on our public mailing list, we have concluded that CNNIC’s behaviour in issuing an unconstrained intermediate certificate to a company with no documented PKI practices and with no oversight of how the private key was stored or controlled was an ‘egregious practice’ as per Mozilla’s CA Certificate Enforcement Policy. Therefore, after public discussion and consideration of the scope and impact of a range of options, we have decided to update our code so that Mozilla products will no longer trust any certificate issued by CNNIC’s roots with a notBefore date on or after 1st April 2015. We have put together a longer document with more details on the incident and how we arrived at the conclusion we did.

CNNIC may, if they wish, re-apply for full inclusion in the Mozilla root store and the removal of this restriction, by going through Mozilla’s inclusion process after completing additional steps that the Mozilla community may require as a result of this incident. This will be discussed in the mozilla.dev.security.policy forum.

The notBefore date that will be checked is inserted into the certificate by CNNIC. We will therefore be asking CNNIC for a comprehensive list of their currently-valid certificates, and publishing it. After the list has been provided, if a certificate not on the list, with a notBefore date before 1 April 2015, is detected on the public Internet by us or anyone else, we reserve the right to take further action.

We believe that this response is consistent with Mozilla policy and is one which we could apply to any other CA in the same situation.

Mozilla Security Team

bombhuauto

Chen3rd 发表于 2015-3-28 16:59
我已经在电脑和android手机上屏蔽了CNNIC和什么WoSign的根证书。可惜iPhone上面没法修改证书 ...

请问有教程吗？

bombhuauto

fuleinist 发表于 2015-3-30 13:35
我的第一反应是：同学，360浏览器删了没？

还在用360急速，有什么比较好的可以替代的？chrome？

fuleinist

symeteor 发表于 2015-3-30 14:59
早就把CNNIC干掉了，垃圾一个
PS：这周开始gfw开始对境外用户，修改百度统计的代码，来ddos github。。。太 ...

ddos github有啥好处啊。。。。不都是开源代码么

fuleinist

bombhuauto 发表于 2015-4-6 14:34
还在用360急速，有什么比较好的可以替代的？chrome？

Chrome妥妥的，如果你实在想用国产，请用猎豹

fuleinist

symeteor 发表于 2015-3-30 14:59
早就把CNNIC干掉了，垃圾一个
PS：这周开始gfw开始对境外用户，修改百度统计的代码，来ddos github。。。太 ...

能copy下百度修改的代码么，很好奇能改成什么样？

malazhumao

fuleinist 发表于 2015-4-7 09:27
能copy下百度修改的代码么，很好奇能改成什么样？

http://www.oursteps.com.au/bbs/f ... ead&tid=1037953

https://pao-pao.net/article/404