felix: CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC
230 views
Skip to first unread message
wanghx
Jan 31, 2010, 10:26:18 AM1/31/10
to lihlii-g, wla...@googlegroups.com, wl...@googlegroups.com
http://felixcat.net/2010/01/throw-out-cnnic/
Anonymous says:
2010/01/27 at 16:28
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
Reply
Felix Yan says:
2010/01/27 at 16:39
哦……是在一个可选更新里啊……谢谢!
Reply
Valerie_Guo says:
2010/01/27 at 16:28
本来还在犹豫再买电脑是否还买MAC,还是换索尼~ RT @_J_Smith 用Mac吧…………RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
似水无痕 says:
2010/01/27 at 16:28
IE中已加入不信任列表还会提示?
FF中点证书不是点删除,而是点编辑,然后去掉所有的勾还会验证吗?
Reply
Felix Yan says:
2010/01/27 at 16:35
FF中点删除和点编辑去掉所有勾是同样的结果:)
Reply
dj2907867 says:
2010/01/27 at 16:28
Entrust.netSecureServerCertificationAuthority证书是什么?也要删除吗? RT @felixonmars [Blog] CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC http://is.gd/78qTH
This comment was originally posted on Twitter
Reply
csnipervista says:
2010/01/27 at 16:27
删除完毕 RT @_J_Smith: 用Mac吧………..又多了一个用Mac的理由….RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
Iphigenia says:
2010/01/27 at 16:26
对了还有一项
Firefox里的“Authorites”
中文是“证书机构”
不用谢,我们都要谢谢你:-)
Reply
mouren says:
2010/01/27 at 16:25
请问Entrust.netSecureServerCertificationAuthority是什么,也要删除吗?
Reply
wsky says:
2010/01/27 at 16:31
同问
Reply
Felix Yan says:
2010/01/27 at 16:42
这个也是CNNIC使用的证书:)
Reply
wsky says:
2010/01/27 at 16:57
明白了 谢谢^^
Reply
似水无痕 says:
2010/01/27 at 17:01
在文章中说明一下吧,好多不看留言的
Reply
Jimmy Xu says:
2010/01/27 at 18:06
这个是签发CNNIC SSL的证书颁发机构的证书,不是CNNIC用的………………
Reply
Felix Yan says:
2010/01/27 at 18:19
哦,感谢指正!
Reply
mytion says:
2010/01/27 at 16:25
中文版的火狐对应的设置,工具—选项—高级—查看证书—证书机构,选中CNNIC组的CNNIC ROOT项,按导出(备份到本地),然后删除。
Reply
mytion says:
2010/01/27 at 16:27
补充:“高级”选项后应该是“加密”,然后才是“查看证书”。漏了一个。汗~
Reply
Felix Yan says:
2010/01/27 at 16:34
多谢:)
Reply
直接删除可否? says:
2010/01/27 at 16:35
我小白,不导出,直接删除可以吗?
Reply
wsky says:
2010/01/27 at 16:38
如果只是使用Firefox的话,可以直接删除.
导出的目的主要是将证书在IE和Chrome上禁用.
Reply
似水无痕 says:
2010/01/27 at 17:08
繁體中文:工具-選項-進階-加密-檢視憑證清單-憑證機構
匯出 刪除
Reply
Iphigenia says:
2010/01/27 at 16:24
展开”Untrusted Certificates”,右键单击其下”Certificates“项,在”All Tasks“子菜单下单击”Import…“
中文版windows里面
分别是“不受信任的证书” “证书” “所有任务” “导入”
Reply
herohec says:
2010/01/27 at 16:24
@felixonmars 这有个步骤 http://is.gd/78v5J
This comment was originally posted on Twitter
Reply
zola says:
2010/01/27 at 16:21
杯葛CNNIC,杯葛微软
Reply
Felix Yan says:
2010/01/27 at 17:00
求解“杯葛”……
Reply
ggarlic says:
2010/01/27 at 17:14
boycott
Reply
fantasysummer says:
2010/01/27 at 16:21
在Firefox中发现.见http://is.gd/78uMn 推断微软并没有将这个更新放出来,或许是在将来.但是Firefox已经有了. RT @Mosesofmason: but I cant find it in my sys. http://twurl.nl/qubvmt
This comment was originally posted on Twitter
Reply
Iphigenia says:
2010/01/27 at 16:19
Encryption->View Certificates
中文版firefox
分别是“加密”和“查看证书”
Reply
Felix Yan says:
2010/01/27 at 16:22
多谢!
Reply
amoiist says:
2010/01/27 at 16:18
不错,我建议增加图解教程
Reply
Felix Yan says:
2010/01/27 at 16:23
我这里是英文版 >.< 那我就先用英文版截图吧,稍候更新!
Reply
flying19880517 says:
2010/01/27 at 16:14
靠靠靠,CNNIC啥时候也成可信证书了?各位推油抓紧删掉并加入不信任证书中,下面是步骤 http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
EnochLu says:
2010/01/27 at 16:13
赶紧去做。RT @LawyerCPA: RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://felixcat.net/2010/01/throw-out-cnnic/ #AntiGFW
This comment was originally posted on Twitter
Reply
_J_Smith says:
2010/01/27 at 16:12
用Mac吧………..又多了一个用Mac的理由….RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
似水无痕 says:
2010/01/27 at 16:38
Mac也不安全,也会加的,等着看吧
Reply
似水无痕 says:
2010/01/28 at 07:29
Mac中也有此证书
Reply
Felix Yan says:
2010/01/29 at 14:27
是的,已证实。
Reply
陈少举 says:
2010/01/27 at 16:11
其实一般是不建议删除的,因为删除证书后可能会出现要求安装的提示。
对于Windows系统,IE/Chrome推荐取消它的证书目的,具体的操作办法是:
打开certmgr.msc,找到CNNIC Root并双击,然后转到详细信息选项卡,点击“编辑属性”按钮,然后将证书目的选择“禁用此证书的所有目的”即可。
Reply
Jimmy Xu says:
2010/01/27 at 16:14
在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。
Reply
Felix Yan says:
2010/01/27 at 16:21
我这个是把CNNIC加到了Untrusted下,没有删除……
Reply
superbass says:
2010/01/27 at 16:30
可以将证书直接拖放到不信任的目录里的
Reply
@nyliulei says:
2010/01/27 at 19:37
谢谢,已经禁用CNNIC。
Reply
砼砼 says:
2010/01/27 at 16:10
转载掉
Reply
陈佳 says:
2010/01/27 at 16:05
我也不信任CNNIC,我现在用的是Chrome,暂时不用改。
Reply
Felix Yan says:
2010/01/27 at 16:07
我这个步骤是为了预防微软的下一个更新把CNNIC加入:)
Reply
qqqfreeboycn says:
2010/01/28 at 23:41
我按照以上步骤作了后,ie直接就提示该页无法显示,但是我只想要一个警告页面,应该怎么做,我的微软似乎已经加入cnnic了
lihlii says:
2010/01/27 at 17:00
我检查我的 Chrome 4.0.249.78 时发现 CNNIC 的根证书已经加入,反而 Firefox 3.5.7 里面没有。所以都要检查。系统更新,软件安装和更新都可能会增加新的根证书。
Reply
Felix Yan says:
2010/01/27 at 17:03
是的,我稍微改一下文章,谢谢提醒:)
Reply
njhuar says:
2010/01/27 at 17:00
其实一般是不建议删除的,因为删除证书后可能会出现要求安装的提示。对于Windows系统,IE/Chrome推荐取消它的证书目的,具体的操作办法 是:打开certmgr.msc,找到CNNIC Root并双击,然后转到详细信息选项卡,点击“编辑属性”按钮,然后将证书目的选择“禁用此证书的所有目的”即可。
This comment was originally posted on FriendFeed
Reply
wander says:
2010/01/28 at 10:37
这个可行。已经关闭了。~
Reply
ddelphi says:
2010/01/27 at 16:55
twit特游学观光团,特此来学习
Reply
fantasysummer says:
2010/01/27 at 16:54
虽然存在.但是已经变成未知无法验证了. RT @XuesongChou: 我在自己FF3.6上,删除之后它们还在…RT @williamlong RT @terryxxy: CNNIC,我不信任你!… http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
larryli says:
2010/01/27 at 16:54
测试当前浏览器是否支持 CNNIC Root 证书。请访问 https://www.enum.cn/ 如果浏览器显示警告提示就是不支持,没有任何警告就是已支持。详细请参阅 http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
shippo7 says:
2010/01/27 at 16:53
添加到 certmgr.msc 的“不信任的证书”之后,在“受信任的根证书颁发机构”中还有 ”CNNIC ROOT“ 和 ”Entrust.net Secure Server Certification Authority“ 两个,是不是应该删除?
Reply
Felix Yan says:
2010/01/27 at 16:57
不是很清楚,您可以尝试删除与不删除情况下访问 https://www.enum.cn/ 是否提示证书无效:)
Reply
danielbody says:
2010/01/27 at 16:44
学习了,CNNIC,哎!
Reply
binnychen says:
2010/01/27 at 16:43
哈,CNNIC谁叫你RP太臭了! RT @williamlong: RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
mouren says:
2010/01/27 at 16:42
Entrust.netSecureServerCertificationAuthority证书到底是什么?
Reply
南 靖男 says:
2010/01/27 at 17:03
cnnic.cn 是用的 Entrust.net Secure Server Certification Authority 颁发的证书。
Reply
南 靖男 says:
2010/01/27 at 16:41
如果直接访问这个网站没有提示 https://www.enum.cn/ 就是已安装了 CNNIC Root 证书。
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
https://bugzilla.mozilla.org/show_bug.cgi?id=525008
Reply
Felix Yan says:
2010/01/27 at 16:49
谢谢提醒!
Reply
XuesongChou says:
2010/01/27 at 16:40
我在自己FF3.6上,删除之后它们还在…
RT @williamlong RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
野草博客 says:
2010/01/27 at 16:40
野草倒觉得似无必要。
Reply
Felix Yan says:
2010/01/27 at 16:49
我主要是担心某天访问Gmail,变成了CNNIC的签名,用户还毫不知情……
Reply
野草博客 says:
2010/01/28 at 09:18
只要访问的确实是Google的Gmail,应该就不会有安全隐患吧?
Reply
lehui99 says:
2010/01/29 at 17:19
确实是Google的Gmail,仍旧有安全隐患。正因为如此,才要去掉CNNIC。可以看月光博客中的《破解Google Gmail的https新思路》。
Reply
Felix Yan says:
2010/01/29 at 18:13
如果是DNS劫持,然后虚假IP又被CNNIC自己签名,则浏览器不会有任何警示,仍然可以正常访问Gmail。
Reply
pinkpck says:
2010/01/27 at 16:35
两个方法我都试过,全部都找不到我firefox里面的CNNIC……
Reply
Felix Yan says:
2010/01/27 at 16:37
3.6新版的Firefox里才有的:)
Reply
走神 says:
2010/01/27 at 16:33
艹,忘了一直开着PUFF,我竟在美国。
Reply
似水无痕 says:
2010/01/27 at 16:42
我是直接访问的,为啥我会在澳大利亚?
Reply
Felix Yan says:
2010/01/27 at 16:52
可能是IP库有问题 >.<
Reply
似水无痕 says:
2010/01/27 at 17:11
爬牆在米國
Reply
似水无痕 says:
2010/01/27 at 18:41
你这插件显示我的就没一个对的,我在中国、使用的是Chromium访问、系统是2008r2
(╯﹏╰)
Reply
Felix Yan says:
2010/01/27 at 18:51
杯具(╯﹏╰)
Reply
走神 says:
2010/01/27 at 16:31
Untrusted Certificates-不信任的证书
Certificates-证书
All Tasks-所有任务
Import-导入
我是直接下载的证书导入的。只用到了这几步。
Reply
Felix Yan says:
2010/01/27 at 16:41
如果您不使用Firefox浏览器,这样操作就可以了:)
Reply
blacktulip says:
2010/01/27 at 16:31
我每次从firefox里面删掉,下次打开它又自己加进来了,不知道怎么搞。
Reply
Felix Yan says:
2010/01/27 at 16:35
这个删掉一次就可以了,您单击编辑(Edit),会发现三个勾都处于未勾选,这样这个证书就起不到任何作用了:)
Reply
OneWingedAngell says:
2010/01/27 at 16:31
猫猫~我来晚了……我的op里面没有~~~~
Reply
Felix Yan says:
2010/01/27 at 16:39
貌似OP不可这样操作..我还没弄清楚
Reply
wsky says:
2010/01/27 at 16:30
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“和”CNNIC SSL“证书,同样导出并删除。
=====
没有找到”CNNIC SSL“
Reply
Felix Yan says:
2010/01/27 at 16:41
最新3.6版的Firefox里才有的:)
Reply
wsky says:
2010/01/27 at 17:03
是3.6的
只找到前两个,最后一个”CNNIC SSL“没找到
还有就是Entrust.net Secure Server Certification Authority这个有两个
Reply
Felix Yan says:
2010/01/27 at 17:06
有两个,请对照一下序列号:)(文中已更新)
Reply
wsky says:
2010/01/27 at 17:13
”CNNIC SSL“证书这个证书还是没找到.有点奇怪.
Reply
wsky says:
2010/01/27 at 17:18
确认我的Firefox 中没有这个证书.
用Firefox点击您给的下载地址,弹出提示让我信任并安装,我把所有勾去掉之后安装了.效果应该是一样的吧
Reply
Felix Yan says:
2010/01/27 at 17:46
应该是一样的效果,可能是Firefox没有自带这个证书……
Reply
1492 says:
2010/01/27 at 19:00
我的也没有CNNIC SSL这个证书
Reply
Felix Yan says:
2010/01/27 at 19:13
可能确实是这样,这个证书也是CNNIC采用的,但它不是开始就有的……您可以下载我上面给的一个CNNIC SSL证书,并禁止掉:)
Reply
superbass says:
2010/01/27 at 16:29
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
Reply
zwwooooo says:
2010/01/27 at 16:29
不信任CNNIC
calmcamel says:
2010/01/27 at 18:43
谢这个分享 http://felixcat.net/2010/01/throw-out-cnnic/ 已将CNNIC在firefox里面的三项删除
This comment was originally posted on Twitter
Reply
jumbleh says:
2010/01/27 at 18:36
为了网络更安全,把CNNIC ban掉的方法 http://bit.ly/ag54ly
This comment was originally posted on Twitter
Reply
Dianso says:
2010/01/27 at 18:32
我也要赶走cnnic
Reply
Walter Gu says:
2010/01/27 at 18:07
谢谢Felix Yan,我已经把CNNIC赶走了!
BTW,可以显示评论国籍、浏览器、操作系统图标的插件是什么呢?
Reply
Felix Yan says:
2010/01/27 at 18:20
插件名是“Comment Info Detector” :)
Reply
Walter Gu says:
2010/01/27 at 18:31
已经安装到我的博客了,THX!
Reply
coolsin says:
2010/01/27 at 17:43
根证书发布者是什么意思啊,对用户有什么具体影响,博主能解释下吗
Reply
Felix Yan says:
2010/01/27 at 17:50
根证书的概念,可以参考百度百科:http://baike.baidu.com/view/554880.htm
Reply
jaleo says:
2010/01/27 at 17:30
我发现其实只要把Firefox里的相关证书 edit一下 取消3个勾就可以了。不需要删除也可以达到目的。
Reply
Felix Yan says:
2010/01/27 at 17:41
这两种操作是相同的结果:)
Reply
啊哈 says:
2010/01/27 at 17:27
已经有了怎么删掉?
Reply
jaleo says:
2010/01/27 at 17:25
windows 7下的IE8里自带了cnnic的证书,不过导出后直接导入到不信任证书里就可以了。
Reply
Felix Yan says:
2010/01/27 at 17:41
最新的更新后,确实会直接就有:)
Reply
星网 says:
2010/01/27 at 17:24
我是小P孩~!不知道CNNIC是啥~!
Reply
Felix Yan says:
2010/01/27 at 18:01
http://www.cnnic.net.cn/index.htm
Reply
zshleon says:
2010/01/27 at 17:18
#CNNIC 已将3个证书加入不信任列表(教程http://felixcat.net/2010/01/throw-out-cnnic/),现在打开https: //www.enum.cn/进不去了
This comment was originally posted on Twitter
Reply
anlore says:
2010/01/27 at 17:14
我在我的FIREFOX中文版里没有找到CNNIC的相关证书….
无法继续操作了…
Reply
Felix Yan says:
2010/01/27 at 17:20
可以下载我上面提供的三个证书,然后导入到“不信任”列表:)
Reply
泡面 says:
2010/01/27 at 17:14
这东西有啥用?
Reply
alswl says:
2010/01/27 at 17:14
Twitter观光团
不信任CNNIC
Reply
iBoluo says:
2010/01/27 at 17:12
-_-;无视, Safari 党飘过。
Reply
Felix Yan says:
2010/01/27 at 17:16
我在Safari上没找到证书设置=。=
Reply
kyt30 says:
2010/01/29 at 11:05
哪个OS、浏览器都要用证书的
网络基本安全机制,不是无视可以的
Reply
xiange says:
2010/01/27 at 17:11
【GR分享】 CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog: Shared by 流水弦歌 这个很重要,Firefox用户要实践一把 出于… http://goo.gl/fb/h8SF
This comment was originally posted on Twitter
Reply
ZZ says:
2010/01/27 at 17:10
我的还没有- -
Reply
Felix Yan says:
2010/01/27 at 17:14
可能还没更新:)
Reply
散人 says:
2010/01/27 at 17:09
更新了嘛,上gmail
Reply
Anonymous says:
2010/01/27 at 17:05
没找到CNNIC ROOT,汗,后面两个倒是找到了
Reply
larryli says:
2010/01/27 at 17:01
@Ratoo 请看 http://felixcat.net/2010/01/throw-out-cnnic/ CNNIC 自己是用的 Entrust.net Secure Server Certification Authority 颁发的证书。
This comment was originally posted on Twitter
Reply
wenhaoy says:
2010/01/27 at 17:01
@free_all_POC http://felixcat.net/2010/01/throw-out-cnnic/ 按这个来 #GFW #GoogleCN
This comment was originally posted on Twitter
lh says:
2010/01/28 at 18:49
opera里面没有介绍。比较简单,直接可以看到cnnic,然后去掉允许连接的勾勾就好了
Reply
张马丁 says:
2010/01/28 at 16:20
我删了。不信任cnnic
Reply
wjc says:
2010/01/28 at 14:14
网易邮箱reg.163.com因为证书发行者CNNIC SSL不受信任而无法登陆。
Reply
Felix Yan says:
2010/01/28 at 14:37
这个可以“特批”一下:)
Reply
Ya says:
2010/01/29 at 09:08
怎么特批呢?谢谢。
Reply
philay says:
2010/01/29 at 09:38
是临时允许,还是近允许163.com?
ps,firefox更新到新版本后应该不会自动更新证书吧?
Reply
Felix Yan says:
2010/01/29 at 13:51
可以把自己信任的特批= =……至于临时还是永久,这个看你的信任程度了:)
Reply
Mini Dragon says:
2010/01/28 at 13:57
学习了.
Reply
jayxu says:
2010/01/28 at 19:57
我正在看:CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog // 已删除CNNIC证书
http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
elvis_w says:
2010/01/28 at 19:05
#GR CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog http://j.mp/a8AHYx // 杯具啊,微软你居然和CNNIC狼狈为奸了
This comment was originally posted on Twitter
Reply
ledled says:
2010/01/28 at 10:58
删除FF3.6的证书重启之后怎么又回来了?大家都一样么?
Reply
Felix Yan says:
2010/01/28 at 12:34
是这样的,不过您测试访问那个测试地址,提示阻止就可以了:)
Reply
VPN代理服务器 says:
2010/01/28 at 10:22
都没人提Opera的吗?
Ctrl+F12 -安全性-管理证书
证书办法机构-CNNIC ROOT
双击
把 允许连接到使用该证书链接的网站 去掉
应该是这样操作,^_^
Reply
Felix Yan says:
2010/01/28 at 12:35
应该是这样,谢谢:)
Reply
thomas says:
2010/01/28 at 09:46
我已经提交Mozilla了,要求去掉这个证书,详细参见:
https://bugzilla.mozilla.org/show_bug.cgi?id=542689
Reply
Felix Yan says:
2010/01/29 at 13:32
多谢,希望能有一个满意的结果:)
Reply
yuanjin says:
2010/01/28 at 09:37
我用的是Ubuntu下的firefox 3.5.8pre,看了一边证书,发现没有找到CNNIC ROOT,是不是只有3.6才添加了那个证书呢?
Reply
Felix Yan says:
2010/01/28 at 12:50
是的,您可以加进去标为不信任:)
Reply
yuanjin says:
2010/01/28 at 22:04
我想知道你在回复人后面显示的包括国家浏览器以及操作系统的插件是什么?网上找了下,有个叫Comment Info Detector的似乎可以实现,但是插件已经有将近5个月没有更新了。
Reply
Felix Yan says:
2010/01/29 at 18:11
我使用的正是这个插件:)我觉得插件很久没更新是没关系的,只要证明了和您使用的WP版本之间兼容就可以:)
Reply
haozi04 says:
2010/01/27 at 22:20
按照 http://is.gd/79slb 的说明把CNNIC证书拉黑了,结果发现网易战网就是CNNIC的root证书……唉
This comment was originally posted on Twitter
Reply
馬蜂 says:
2010/01/27 at 20:00
我想問ubuntu下Firefox3.5.7要不要如此這般一番?
Reply
wander says:
2010/01/28 at 10:40
我的FF3.5.7里没有CNNIC的证书,但是打开上边提供的那个网页却发现可以访问,然后运行命令关闭的。
晕。。你用的Ubuntu啊,我还准备说让你看看IE呐。哈哈哈哈
Reply
Jimmy Xu says:
2010/01/27 at 19:51
“Disable all purposes for this certificate”->停用这个证书的所有目的。
那个图可以拿来用~
Reply
Felix Yan says:
2010/01/28 at 14:36
多谢,已更新:)
Reply
terryxxy says:
2010/01/27 at 19:49
CNNIC 那个,不需要关闭自动更新,上述步骤多了第9步,请注意! 请前往 http://felixcat.net/2010/01/throw-out-cnnic/ 再次查看操作步骤
This comment was originally posted on Twitter
Reply
yunshan says:
2010/01/27 at 19:39
ubuntu9.10+chromium如何设置?
Reply
黑黑 says:
2010/01/27 at 19:28
谢谢哦,学会啦
Reply
Pingguan says:
2010/01/27 at 19:19
最近出口抽风厉害(Yahoo邮箱慢死,hotmail死翘翘几天)只好长期挂上VPN。并听网上建议删除了CNNIC的证书:http: //j.mp/dh9LNh
This comment was originally posted on Twitter
Reply
QiFei says:
2010/01/27 at 18:53
已经删除证书。
Reply
wenhaoy says:
2010/01/27 at 18:52
@nbzyj http://is.gd/78qTH //RT 求方法 @wenhaoy: @free_all_POC 呵呵,这倒不是因为在不在国内下载的。CNNIC进受信根证书列表本身没错,但是鉴于他的口碑。。。还是删掉安全 #GFW #GoogleCN
This comment was originally posted on Twitter
Reply
shhboy says:
2010/01/27 at 18:50
For Windows vista/7: 运行->gpedit.msc->计算机配置->管理模板->系统->Internet通信管理-> Internet通信设置->(“启动”)关闭自动根证书更新
Reply
Felix Yan says:
2010/01/27 at 19:02
多谢^_^
何處不腥膻 says:
2010/01/29 at 11:58
OS是archlinux
瀏覽器是firefox3.5.7
在“編輯-首選項-高級-加密-查看證書-證書機構-Entrust.net-CNNIC“已經找到CNNIC,已刪除。
看來並不是只有3.6才有這個證書,3.5.7已經有了!
Reply
Felix Yan says:
2010/01/29 at 13:24
可能这个证书是您安装其他组件的时候带进来的:)
Reply
philay says:
2010/01/29 at 11:26
我是XP系统,在参考上文中“添加/删除组件”,即关闭自动更新跟目录,并点击下一步时,提示要插入安装光盘。如何解决?或者说具体是XP下如何取消自动 更新根目录?
Reply
Felix Yan says:
2010/01/29 at 13:26
新方法按第九步操作即可,后文灰色字是旧方法:)
Reply
GFW says:
2010/01/29 at 10:50
已经禁用,虽无多大作用。
感谢作者!
Reply
善逛网 says:
2010/01/29 at 09:45
寒~~~~~~~~~~~~~~~~
This comment was originally posted on Scavin Weblog
Reply
picasa2 says:
2010/01/29 at 09:45
按照此文操作了一下,禁用了cnnic证书。http://is.gd/7fWzf
This comment was originally posted on Twitter
Reply
bangbangbee says:
2010/01/29 at 09:01
http://ow.ly/11Bx0 CNNIC,我不信任你–从“受信任的根证书”里赶走CNNIC RT @fuckcpc: 抛弃火狐,我是被逼的! //Firefox和微软已将CNNIC添加到根证书列表中 http://ow.ly/11BxM
This comment was originally posted on Twitter
Reply
ROBBER says:
2010/01/29 at 03:43
这下可好。mail.163.com也登陆不了了。
Reply
Felix Yan says:
2010/01/29 at 13:27
您可以将163邮箱进行特批:)
Reply
ee says:
2010/01/31 at 07:40
用gmail更好
Reply
xy says:
2010/01/28 at 23:58
テスト
Reply
qqqfreeboycn says:
2010/01/28 at 23:38
我按照以上步骤作了后,ie直接就提示该页无法显示,但是我只想要一个警告页面,应该怎么做
Reply
Felix Yan says:
2010/01/29 at 14:00
这个我还真不知道,XD
希望能有网友解答:)
Reply
hello world says:
2010/01/28 at 22:42
哇哈哈,弄好了
Reply
chac says:
2010/01/28 at 22:12
已经禁用 谢谢 天朝太可怕了
Reply
link says:
2010/01/28 at 21:54
第9步的作用是什么?
我没做这步操作也能无法访问https://www.enum.cn/, Firefox提示“此连接是不受信任的”
Reply
Felix Yan says:
2010/01/29 at 13:28
第9步是防止Windows自动证书更新的时候又把它加到“受信”组中:)
Reply
dupola says:
2010/01/28 at 21:45
我用的是Firefox便捷版,”Entrust.net“组里没有 CNNIC SSL,这怎么办?
Reply
Felix Yan says:
2010/01/29 at 14:00
CNNIC SSL可以从本文的链接中下载然后禁用,lol
Reply
ww says:
2010/01/31 at 07:42
氵干
Reply
mediog says:
2010/01/28 at 21:44
博主你好,为什么我按你的做法操作了,firefox3.5 和 IE6 都依然能正常访问https://www.enum.cn/ 这个网站?因为我是偶然搜索到贵博客的,可以回复到我的Email里去吗?万分感谢
Reply
Felix Yan says:
2010/01/29 at 13:30
请问您能提供更详细一点的信息吗?我从这个描述里没找到问题 @_@
Reply
mediog says:
2010/01/29 at 16:27
谢谢博主你的关注。我想了很久,也想不出怎么提供更详细的信息了。我是按着博主所描述的一步步操作下去的。由于我用的是Fx3.5,因此我是下载了证书来 进行操作的。每一个步骤我都确认完全照做,没有问题的。但是依然没有效果。Fx和IE还是照样正常访问那个网站。我猜想会不会是其他因素的影响?
Reply
mediog says:
2010/01/29 at 16:49
博主你好,问题解决了。是我自己的问题。首先是博主文章中的“受信任的证书颁发者” ,这个我没找到,因此误理解为“受信任的发行者”,其实应该是“受信任的 根 证书颁发者”。所以停用行为无效。而firefox方面,因为我用的是Fx3.5 ,而且找不到CNNIC BOOT这个证书,所以我想当然地认为其他两个证书也没有,结果再次检查却发现了他们的足迹,把他们删除后就能正常屏蔽了。
PS:我在Fx里删证书的时候不小心删除错了另一个,而且我不知道是哪一个。这个要怎么办?有影响吗?
Reply
Felix Yan says:
2010/01/29 at 18:10
您好,误删除的证书在重启firefox后会重新出现,只是其功能的三个勾会全部处于未勾选状态。如果您记得大致的位置,可以找到相应的证书,重新勾上那 三个勾:)
Reply
mediog says:
2010/01/30 at 10:08
明白了,感谢博主
Reply
LVFV says:
2010/01/28 at 20:53
如果是在mac os x的safari里是找不到这个设置的,在application—-utility—-钥匙串里,搜索cnnic,可以得到cnnic root证书,显示信息——永不信任即可。
Reply
Felix Yan says:
2010/01/29 at 13:53
多谢提供!
Reply
hanmiao says:
2010/01/28 at 20:22
我昨天看到过那篇文章,介绍如何将其加入不信任列表,今天又看到你的文章介绍这件事,虽然不是很明白为什么要这样做,但我还是照着做了。现在已经试验成 功。PS:你的博客使用的评论字体在Firefox3.0下太小了,看不太清楚。
This comment was originally posted on Scavin Weblog
Reply
C.C. says:
2010/01/28 at 20:17
按照楼主的方法,IE8已经打不开那个测试网站了,但是ChromePlus既然可以打开….
怎么回事?
Reply
Felix Yan says:
2010/01/29 at 13:37
这个还真不清楚……望网友解答哈
Reply
GooogLL says:
2010/01/28 at 20:06
也把CNNIC的证书弄掉了,虽然我不知道证书是干嘛用的。http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
Deloz says:
2010/01/28 at 19:46
感谢,已经删除2个,另外的那个CNNIC SSL没有这项…
进那站,我的IE8没出现那个警告..
Reply
Deloz says:
2010/01/28 at 19:53
补充: IE8打不开那个加https的链接, 只是警告,应该没事了
Reply
Felix Yan says:
2010/01/29 at 13:33
CNNIC SSL可以从本文的链接中下载然后禁用:)
Reply
翎风 says:
2010/01/28 at 19:11
赶紧这么做,不能信流氓
ir77 says:
2010/01/30 at 15:01
我也找不到cnnic ssl这个证书,不过我修改之后就会提示https://www.enum.cn/的证书不受信任。
Reply
Felix Yan says:
2010/01/30 at 16:42
CNNIC SSL 就是www.enum.cn证书的发布者,找不到属正常情况,详见我更新的提示:)
Reply
C.C. says:
2010/01/30 at 14:58
https://www.enum.cn/ 看了下这网站的证书
CNNIC ROOT 顶楼下载已提供
CNNIC SSL,由CNNIC ROOT颁发,顶楼没有 (顶楼提供的CNNIC SSL是由entrust颁发的版本)
按照顶楼方法禁止证书后,IE访问说Internet Explorer 无法显示该网页,Chrome正常
只有自己再把www.enum.cn这个证书添加并禁用后,IE和Chrome才会显示安全证书有问题的提示
Reply
Felix Yan says:
2010/01/30 at 16:40
您好像是禁用了证书,而没有禁用“受信任的证书颁发者”,请仔细检查一下这个问题:)
Reply
Lieerx says:
2010/01/30 at 12:44
http://felixcat.net/2010/01/throw-out-cnnic/ 主要浏览器都提到了。。。唯独chrome好像米办法禁用那个证书。。。呃,求解答
This comment was originally posted on Twitter
Reply
chenxiccc says:
2010/01/30 at 12:23
> @wenhaoy: @nbzyj http://is.gd/78qTH //RT 求方法 @wenhaoy: @free_all_POC 呵呵,这倒不是因为在不在国内下载的。CNNIC进受信根证书列表本身没错,但是鉴于他的口碑。。。还是删掉安全 #GFW #Googl…
This comment was originally posted on Twitter
Reply
kyt says:
2010/01/30 at 01:10
很诡异的问题
etrust那个firefox 3.5.7始终删除不掉,不过会组织HTTPS
另外root ssl etrust加到不信任里面,信任里面禁用目的后
ie还是能打开,当然毫无疑问chrome也打开了
东点点西点点,发现一个使用的证书是另外一个cnnic ssl发给enum的10年10月过期的证书,禁用后ie/chrome也禁止https了
Reply
Felix Yan says:
2010/01/30 at 12:42
额,还有另一个CNNIC SSL?
Reply
kyt says:
2010/01/30 at 13:09
这篇文章里给的SSL颁发者是ENTRUST,颁发给CNNIC(简称1号SSL好了)
我说的另一个是
颁发者CNNIC SSL
颁发给 http://WWW.ENUM.CN
预期目的 服务器验证
过期时间 2010.10.20
(那这个简称2号SSL)
证书不了解,感觉这个SSL似乎是证书颁发的中间一层
但是我的IE/CHROME必须同时禁掉2号SSL才能阻止访问网站
Reply
Felix Yan says:
2010/01/30 at 13:11
我上面说要同时禁止3个证书才有效,而不是删除,您是这样操作的吗?
Reply
kyt says:
2010/01/30 at 17:54
firefox 3.5.7的情况:
cnnic root 一开始我就没有
cnnic ssl被我删了
entrust 删了
重启fx 3.5.6
cnnic ssl没了
entrust 还在,反复操作无果
但是全部不勾选,访问https还是禁止了,效果达成
再来说IE/chrome
三个证书,在 不受信任的证书 导入,OK
在信任证书导入,然后再信任证书中禁止目的,OK
尝试https,依然可以连接上
我的情况和上面的CC应该是一样的,必须再次手工添加CNNIC SSL颁发给www.enum.cn的证书到不信任里面才能阻止访问
UPDATE:
发这篇回复时我再次完整、仔细的尝试了一次,这次成功了,我不需要自己手工加www.enum.cn的证书了
但是我非常确信先前的操作没有问题
由于CC也有同样问题,我相信这是一个系统的问题,如果有相同问题的,需要多次多次重复操作(在信任证书中,开启所有目的,然后再关闭所有目的,这样反复 多次)
Reply
Felix Yan says:
2010/01/30 at 23:06
您好像是禁用了证书,而没有禁用“受信任的证书颁发者”,请仔细检查一下这个问题:)
Reply
kyt says:
2010/01/31 at 02:33
再一次看了一下说明
发现我有搞错的地方,确实是禁用了证书而不是禁止颁发机构
怪我先前没看图
不过您的 “受信任的证书颁发者” 和配图(Jimmy Xu 供图)对不大上,英文确实应该是Trusted Root Certification Authorities,但是中文(包括图中和我自己机器上)翻译是“受信任根证书颁发机构”
PS。我的根证书颁发机构里只有CNNIC ROOT 和ENTRUST,没有SSL
是否一定要导入SSL再禁用
这个SSL属于中级颁发机构吧,会有影响吗
Reply
kyt says:
2010/01/31 at 02:38
还是会有问题
现在情况是IE网络问题无法访问了,CHROME正常了,哈哈哈,我奔溃了,明天再试试看,或者看看其他人到底怎么回事情
Reply
Felix Yan says:
2010/01/31 at 02:42
哦……是翻译问题啊……十分抱歉……!中级机构最好还是加进去,:)
Reply
kyt says:
2010/01/30 at 00:49
奇怪,照着做了开始是打不开了,浏览器重启一次又能打开了,fx3.5.7,entrust那个删不掉
Reply
Felix Yan says:
2010/01/30 at 12:42
删不掉是正常的,请看新步骤,新步骤不是删除:)
Reply
kyt says:
2010/01/30 at 00:07
为什么我一台机器上fx3.6没有看到ssl
另一个台fx3.5看不到root?
另外我添加进不信任证书后,在不信任证书中的属性栏选择了禁止证书目的,IE就不可访问ENUM了
再去受信任的证书颁发者里导入并设置是否必要?
Reply
Felix Yan says:
2010/01/30 at 12:43
再去受信任的证书颁发者里导入并设置是必要的,否则自动更新时会把那个证书重新信任上
Reply
C.C. says:
2010/01/29 at 23:26
系统:XP sp3
浏览器:IE8,ChromePlus1.3.6.0 (基于Chromium4.0.295.0)
按照顶楼的顺序设置,IE8无法访问https://www.enum.cn/
但是提示的是:Internet Explorer 无法显示该网页,而不是安全证书问题
Chrome依旧可以访问https://www.enum.cn/ 没出现任何提示….
真神奇啊
Reply
Felix Yan says:
2010/01/30 at 12:47
您确认是按照最新的步骤操作的吗?
Reply
philay says:
2010/01/29 at 22:39
我已经是管理员身份了,为何在ff下导出证书时提示我没有权限打开该文件呢?win7 x86
Reply
Felix Yan says:
2010/01/30 at 12:43
导出之后不要打开
Reply
philay says:
2010/01/29 at 22:38
我是win7 x86中文旗舰版,为何在firefox下导出证书时,提示我没有权限打开该文件呢?请指教!
Reply
Felix Yan says:
2010/01/31 at 11:41
这个文件不是用来打开的 @_@
Reply
Dianso says:
2010/01/29 at 21:30
哈哈,上google第一页了。
This comment was originally posted on Scavin Weblog
Reply
ipkk says:
2010/01/29 at 19:14
好吧~~必须要导出么?我只选择DELETE可以么?
Reply
Felix Yan says:
2010/01/29 at 19:32
导出是为了在Windows证书管理器中导入,如果不需要这么做,您可以仅在Firefox中取消勾选(新操作,详见文中3、4步)
Reply
St. Chen says:
2010/01/29 at 18:29
还是用safari吧
Reply
Felix Yan says:
2010/01/29 at 18:34
safari也有相同问题的:-(
Reply
steven says:
2010/01/29 at 17:38
按照楼主的做法做了,ff和ie的确都无法访问那个网站,但是好像ie有点问题,看到楼主的截图ie提示的信息是This is a problem with this website’s security certification,但是在我的ie8里提示是Internet Explorer cannot display the webpage,这是怎么回事,好像这样的话我就没有办法在无法访问的时候添加一个例外? 麻烦楼主替我解答一下。
另外,这样操作以后,在safari,chrome,opera中仍然可以正常访问。
Reply
Felix Yan says:
2010/01/29 at 18:30
不好意思,原方法有少许错误,请参考1/29,6:30 PM的更新:)
Reply
William says:
2010/01/29 at 16:56
该方法对Firefox 3.6里面的CNNIC SSL无效。
删除CNNIC SSL是真的把这个证书删了(另外两个不是真删除),一更新又回来了(我也不知道更新了什么。。。),那个测试页又能顺利地打开。而此时CNNIC SSL在Edit的三个勾都是取消掉的。
这是怎么回事?
Reply
Felix Yan says:
2010/01/29 at 18:29
多谢提醒,已更新方法:)
Reply
William says:
2010/01/29 at 19:26
还是没有用额…
如果直接删掉的话,能够阻止测试网址。
如果存在CNNIC SSL这个证书,即使三个勾都不勾选,依然能够顺利打开测试网址。
主要问题是,即便删除,以后也会神不知鬼不觉地溜进来。
Reply
Felix Yan says:
2010/01/29 at 19:34
删除是确实会重新进来,但是删除和三个都不勾选基本是相同作用;而三个都不勾选应该就不能打开测试网址了啊……
Reply
William says:
2010/01/29 at 21:13
这就奇怪了,不知道我哪里出了问题……
Reply
Felix Yan says:
2010/01/29 at 21:48
patpat,我继续研究,发现问题第一时间来回答您:)
Reply
latte says:
2010/01/29 at 13:39
把CNNICSSL.crt下载后导入,禁用,依然可以正常访问https://www.enum.cn/
Reply
Felix Yan says:
2010/01/29 at 13:56
三个证书都完全禁用,并且在信任的列表里取消了全部功能了吗?
Reply
latte says:
2010/01/30 at 10:22
是的。完全禁用都取消功能了。依然不行
Reply
huboo says:
2010/01/29 at 13:34
网易的战网服务器使用了CNNIC SSL的证书,如果是玩cwow的需要充值,可以使用FF添加该例外。
Reply
Felix Yan says:
2010/01/29 at 13:57
这个是FF例外吗?我感觉貌似是Win的……
Reply
huboo says:
2010/01/29 at 17:25
我试过IE跟Chrome,这个例外看来是只针对FF的。以下是截图:http: //huboo.eblhost.cn/upload/20100129170118_39667.gif
Reply
huboo says:
2010/01/29 at 17:29
突然发现你的gravatar也是只猫。不知道回复可以使用什么代码,就直接贴了图片地址。
Reply
Felix Yan says:
2010/01/29 at 18:07
Reply
Felix Yan says:
2010/01/29 at 18:08
就是普通的HTML代码:)
Reply
Felix Yan says:
2010/01/30 at 17:27
用BBCode也是可以的:)
Reply
latte says:
2010/01/29 at 13:33
为何证书管理器里找不到CNNIC SSL?XP系统。。。
其他都正常操作了,但是依然可以正常访问https://www.enum.cn/
Reply
free_all_POC says:
2010/01/29 at 13:06
@ethereps 这样做不够,还有两个证书也要去掉才完整。http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
April says:
2010/01/29 at 12:55
为啥看不到我的留言了 昨天我就留言了的 说把那3个证书删除之后Brizzly网站也运行不了 缺少第三个证书(证书名最长的那个)
Reply
Felix Yan says:
2010/01/29 at 13:24
抱歉,我这里有设置第一次留言需要审核,以防spam,希望能原谅:)Brizzly网站的问题我再去看看
zhaomin57 says:
2010/01/31 at 14:55
比较菜,没有太看明白你的文章。请问一下,我是 xp xp3 简体中文版,IE6 ,我右击桌面的Internet Explorer图标—>属性—>内容—>证书—>受信任的根证书颁发机构,其中并没有CNNIC ,那我是不是什么都不用做?谢谢!! (PS:我通过windows update装过很多补丁,但是那个可选的根证书更新,我从来没有装过)
Reply
Felix Yan says:
2010/01/31 at 14:57
不是,您浏览网站时也会自动根据证书的信任链安装上那个证书并且把它标记成可信的……最好是现在导入然后标记为不可信,这样更加可靠:)
Reply
zzxxcc says:
2010/01/31 at 14:29
不错的文章,很讨厌CNNIC,坚决清除之!
Reply
无法登陆163邮箱 says:
2010/01/31 at 13:01
修改之后,163邮箱无法登陆。。。。
Reply
Felix Yan says:
2010/01/31 at 13:37
是这样的,您可以单独信任一下163的证书:)
Reply
ww says:
2010/01/31 at 04:46
呵呵,改用google浏览器.
Reply
Felix Yan says:
2010/01/31 at 11:39
Google浏览器用的也是操作系统的证书设置= =
Reply
ww says:
2010/01/31 at 04:40
看来到中国大陆旅行先要删除Add/Remove Programs程序?
Reply
ww says:
2010/01/31 at 04:29
本人在海外,看了一篇”抵制CNNIC根证书行动”网文,立即在本电脑查找CNNIC根证书,很幸运没找到CNNIC根证书,(注:本电脑Windows Update的所有补丁都打齐的).看来微软内外有别,双重标准?
Reply
Felix Yan says:
2010/01/31 at 11:40
微软的可选补丁您也打全了吗?
Reply
zl says:
2010/01/31 at 02:31
光这样不行,关掉IE后再打开又有了,得关掉微软根证书的更新(在程序追加里)
Reply
Felix Yan says:
2010/01/31 at 02:40
新增加的第九步就是为了免除关闭更新:)
Reply
kkddgcd says:
2010/01/31 at 00:34
有啊,我刚试了一下,能登录,0.0!
Reply
kkddgcd says:
2010/01/31 at 00:32
我操作后输入https://www.enum.cn/ 就是这样子,刷新后就是第二张图。算了,以后再搞了。谢谢。
Reply
ELL says:
2010/01/31 at 00:27
我不知所云 ( ̄_ ̄|||)
Reply
ww says:
2010/01/31 at 04:55
hoho,,,,用mac可以不知所云-_-”
Reply
Felix Yan says:
2010/01/31 at 11:35
在天朝用Mac还是不能不知所云的,哈哈
Reply
ww says:
2010/01/31 at 05:02
在British用mac大可不知所云 ( ̄_ ̄|||)
Reply
kkddgcd says:
2010/01/31 at 00:17
麻烦你登录一下看看,用户名:lsq3...@tom.com密码:kkddgcd444
Reply
Felix Yan says:
2010/01/31 at 00:30
用户名不存在= =……
Reply
kkddgcd says:
2010/01/31 at 00:15
我重新注册了个相册,你看看能不能看到,谢谢。
http://wt.wodexiangce.cn/pages/photo/open.faces
Reply
kkddgcd says:
2010/01/30 at 23:49
加我好友行吗?
Reply
Felix Yan says:
2010/01/30 at 23:55
额,我基本不上Q的……囧……
Reply
ww says:
2010/01/31 at 04:33
Q根本就是木马.
Reply
kkddgcd says:
2010/01/30 at 23:45
我传图到QQ相册,麻烦你看下,谢谢
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
Reply
Felix Yan says:
2010/01/30 at 23:47
晕一个,看不了非好友的QQ空间……
Reply
kkddgcd says:
2010/01/30 at 23:29
汗,怎么上图啊?谢谢
Reply
Felix Yan says:
2010/01/30 at 23:35
这里支持BBCode,您可以到mobypicture,img.ly之类的网站上传图片后获得外链地址,然后发上来:)
Reply
kkddgcd says:
2010/01/30 at 23:11
你好,显示的是
此程序无法显示网页
最可能的原因是:
未连接到 Internet。
该网站遇到了问题。
在地址中可能存在键入错误。
您可以尝试以下操作:
检查您的 Internet 连接。尝试访问其他网站以确保已连接到 Internet。
重新键入地址。
返回到上一页。
Reply
Felix Yan says:
2010/01/30 at 23:19
能上一下截图吗?要包括地址栏和状态栏的,谢谢:)
Reply
kkddgcd says:
2010/01/30 at 23:03
https://www.enum.cn/ 打不开是不是删除成功了?谢谢!
Reply
Felix Yan says:
2010/01/30 at 23:08
如果提示的是证书问题,应该就是成功了:)
Reply
Weixuhong says:
2010/01/30 at 21:55
如何删除CNNIC根证书 http://bit.ly/bJGUrK #GFW
This comment was originally posted on Twitter
Reply
A.A says:
2010/01/30 at 18:06
谢谢提醒,删掉了,不敢相信CNNIC。
因为从随便终止个人用户域名上就觉得CNNIC没有信用。
C.C. says:
2010/01/30 at 15:21
上图
禁止后IE说无法显示该网页,Chrome正常
添加www.enum.cn证书到不信任,信任里禁止后正常
晨之晖 says:
2010/01/31 at 22:03
我认为只要让它取消“标识软件制造者”就可以了,免除这些ACTIVE插件的静默安装就可以了,毕竟访问网站和邮箱对大部分用户是有必要的, CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt这两个的权限并不高
Reply
Felix Yan says:
2010/01/31 at 23:09
我这样做的初衷本来是为了免除针对google的https中间人攻击,所以对CNNIC这个不可靠部门可能存在自己签名自己虚假服务器的问题,而取消 cnnic的所有证书。即使权限低也一样。
Reply
晨之晖 says:
2010/01/31 at 21:06
这位朋友太过激了,只要把CNNIC ROOT证书停用了就可以了,否则很多应用不能使用的,如163邮箱SSL登陆
Reply
Felix Yan says:
2010/01/31 at 21:58
不这样做的话,是治标不治本。你想你能访问CNNIC签名的163邮箱,自然也能不经警告地访问任何的CNNIC签名的网站,这样停用证书的目的就完全没 有达到……
Reply
晨之晖 says:
2010/01/31 at 22:40
那个SSL和Entrust早就存在多年了,我认为网站和邮箱的验证很正常,关键是ActiveX 控件等软件,ROOT证书权限太高了所以一定要禁用
Reply
zly001 says:
2010/01/31 at 17:00
研究了好一会,还是看不明白,我是电脑盲,请问博主,这个CNNIC赖在我电脑里,要不要紧的?它有什么安全隐患没有?如果有的话,那我去请别人按照您的 文章替我清除掉它,但是如果它没什么安全隐患,我就不搞了
Reply
Felix Yan says:
2010/01/31 at 17:29
这个问题的详细情况,请参考月光博客:http://www.williamlong.info/archives/2058.html
《破解Google Gmail的https新思路》
Reply
cde says:
2010/01/31 at 16:14
请问,我已安装最新的 Firefox 3.6 ,但是我按你的教程操作,我只找到了你在第1步里说的两个证书,却没有发现 CNNIC SSL 证书,那我在第8步里只倒入两个证书行不行?需不需要把你提供下载的 CNNIC SSL 证书也倒进去?谢谢
Reply
Felix Yan says:
2010/01/31 at 16:16
最好下载导入,这样比较完整:)我第一步里有说明CNNIC SSL证书不是自带的……
Reply
treeler says:
2010/01/31 at 16:10
如何 单独信任163邮箱的证书?
Reply
Todd says:
2010/01/31 at 15:57
学习了, 比 Mac 上的操作复杂好多啊.
CNNIC,我不信任你!——从 “受信任的根证书”里赶走CNNIC
Posted by Felix Yan | Uncategorized | 2010-01-27 | 12,001 views
在Twitter上 惊闻“微软把CNNIC列为根证书发布者”,赶紧 Google一把,发现Mozilla同样也已经在3.6版的Firefox 里这么做了。
出于对CNNIC深深的不信任,我决定将CNNIC ROOT从“受信任”的列表里赶出去。
因为IE/Chrome采用微软的CA目录,而微软现在暂未将CNNIC加入,因此 需要先从Firefox中导出这几个证书,再添加到Windows的“不信任”列表(更新:现在可以直接从Windows里导入再导入了,操作类似), 以防范于未然。下面便是具体的步骤了(包括 IE/Chrome/Firefox):
1、如果没有安装Firefox浏览器的3.6最新版,或者在下面的操作中没有找到相应的证书,可以从这里下载 这三个证书,然后跳到第5步(其中CNNIC SSL非自带证书!):CNNICROOT.crt CNNICSSL.crtEntrust.netSecureServerCertificationAuthority.crt
2、打开Firefox浏览器,工具(Tools)- >选项(Options)->高级(Advanced)->加密(Encryption)->查看证书(View Certificates)
3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项,按导出(Export)(备份到本地),然后编辑(Edit),去除里面的三个勾选,然后单击确定(OK)。(RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。)
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A:D2:43的)和”CNNIC SSL“证书,同样导出并去除勾选。(注: Entrust.net这个也是验证CNNIC所用的证书)
5、打开开始菜单->运行(或者直接按Win-R)
6、输入certmgr.msc,打开Windows的证书管理器。
7、展开”不受信任的证书(Untrusted Certificates)“,右键单击其下”证书(Certificates)“项,在”所有任务(All Tasks)“子菜单下单击”导入(Import)…“
8、分别找到刚才保存的三个证书,依次导入(Next ->Browse…(找到相应文件)->Next->Next->Finish)。
9、将导入的证书复制(Ctrl-C),然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities) 中,然后在这个窗口中分别右键单击粘贴过来的3个证书,选择“属性(Properties)”,然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。
(感谢 Jimmy Xu 供图)
另附上网友补充的Safari/Opera设置方法:
Mac下Safari操作步骤(感谢推友
@xzzxyd 提供!):
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app),或者在
Spotlight中搜索”Keychain Access“或”钥匙串访问“,打开后搜索CNNIC,在”信任”中标记为”永不信任“~。
VPN代理服务器:都没人提Opera的吗?Ctrl +F12 -安全性-管理证书-证书办法机构-CNNIC ROOT 双击,把 允许连接到使用该证书链接的网站 去掉。
想检验操作是否成功?在浏览器里访问 https://www.enum.cn/ ,如果提示证书被拒绝,就证明操作成功了!
——————1/29 6:30 PM更新——————
经验证,CNNIC SSL证书非Firefox 3.6自带,没有找到属正常情况;另外,上述步骤3/4有变化,已删除证书 CNNIC SSL 发现无效的朋友,可以将 CNNIC SSL 证书按照上述3/4步的步骤重新操作一次,而非删除,即可。
——————1/27 7:30 PM更新——————
不需要关闭自动更新,上述步骤多了第9步,请注意!
——————1/27 6:15 PM更新!!——————
0、在默认 情况下,微软会自动连接到Windows Update服务器更新CA列表,这样会导致以下操作对IE/chrome失效,具体解决方法:
0a:
对于Windows XP用户:控制面板(Control Panel)->添加/删除程序(Add/Remove
Programs)->添加/删除windows组件(Add/Remove
Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”
(感谢推友@tOmMyanG供图!)
0b:
对于Windows Vista/Windows 7用户:组策略(运行->gpedit.msc)->计算机配置(Computer
Configuration)->管理模板(Administrative
Templates)->系统(System)->Internet 通信管理(Internet Communication
Management)->Internet 通信设置(Internet Communication
settings),启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates
Update)”
十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助:)
(另:十分感谢使用中文版系统的朋友告诉我相应选项在 中文版中的名字,谢谢!)
Anonymous says:
2010/01/27 at 16:28
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
Reply
Felix Yan says:
2010/01/27 at 16:39
哦……是在一个可选更新里啊……谢谢!
Reply
Valerie_Guo says:
2010/01/27 at 16:28
本来还在犹豫再买电脑是否还买MAC,还是换索尼~ RT @_J_Smith 用Mac吧…………RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
似水无痕 says:
2010/01/27 at 16:28
IE中已加入不信任列表还会提示?
FF中点证书不是点删除,而是点编辑,然后去掉所有的勾还会验证吗?
Reply
Felix Yan says:
2010/01/27 at 16:35
FF中点删除和点编辑去掉所有勾是同样的结果:)
Reply
dj2907867 says:
2010/01/27 at 16:28
Entrust.netSecureServerCertificationAuthority证书是什么?也要删除吗? RT @felixonmars [Blog] CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC http://is.gd/78qTH
This comment was originally posted on Twitter
Reply
csnipervista says:
2010/01/27 at 16:27
删除完毕 RT @_J_Smith: 用Mac吧………..又多了一个用Mac的理由….RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
Iphigenia says:
2010/01/27 at 16:26
对了还有一项
Firefox里的“Authorites”
中文是“证书机构”
不用谢,我们都要谢谢你:-)
Reply
mouren says:
2010/01/27 at 16:25
请问Entrust.netSecureServerCertificationAuthority是什么,也要删除吗?
Reply
wsky says:
2010/01/27 at 16:31
同问
Reply
Felix Yan says:
2010/01/27 at 16:42
这个也是CNNIC使用的证书:)
Reply
wsky says:
2010/01/27 at 16:57
明白了 谢谢^^
Reply
似水无痕 says:
2010/01/27 at 17:01
在文章中说明一下吧,好多不看留言的
Reply
Jimmy Xu says:
2010/01/27 at 18:06
这个是签发CNNIC SSL的证书颁发机构的证书,不是CNNIC用的………………
Reply
Felix Yan says:
2010/01/27 at 18:19
哦,感谢指正!
Reply
mytion says:
2010/01/27 at 16:25
中文版的火狐对应的设置,工具—选项—高级—查看证书—证书机构,选中CNNIC组的CNNIC ROOT项,按导出(备份到本地),然后删除。
Reply
mytion says:
2010/01/27 at 16:27
补充:“高级”选项后应该是“加密”,然后才是“查看证书”。漏了一个。汗~
Reply
Felix Yan says:
2010/01/27 at 16:34
多谢:)
Reply
直接删除可否? says:
2010/01/27 at 16:35
我小白,不导出,直接删除可以吗?
Reply
wsky says:
2010/01/27 at 16:38
如果只是使用Firefox的话,可以直接删除.
导出的目的主要是将证书在IE和Chrome上禁用.
Reply
似水无痕 says:
2010/01/27 at 17:08
繁體中文:工具-選項-進階-加密-檢視憑證清單-憑證機構
匯出 刪除
Reply
Iphigenia says:
2010/01/27 at 16:24
展开”Untrusted Certificates”,右键单击其下”Certificates“项,在”All Tasks“子菜单下单击”Import…“
中文版windows里面
分别是“不受信任的证书” “证书” “所有任务” “导入”
Reply
herohec says:
2010/01/27 at 16:24
@felixonmars 这有个步骤 http://is.gd/78v5J
This comment was originally posted on Twitter
Reply
zola says:
2010/01/27 at 16:21
杯葛CNNIC,杯葛微软
Reply
Felix Yan says:
2010/01/27 at 17:00
求解“杯葛”……
Reply
ggarlic says:
2010/01/27 at 17:14
boycott
Reply
fantasysummer says:
2010/01/27 at 16:21
在Firefox中发现.见http://is.gd/78uMn 推断微软并没有将这个更新放出来,或许是在将来.但是Firefox已经有了. RT @Mosesofmason: but I cant find it in my sys. http://twurl.nl/qubvmt
This comment was originally posted on Twitter
Reply
Iphigenia says:
2010/01/27 at 16:19
Encryption->View Certificates
中文版firefox
分别是“加密”和“查看证书”
Reply
Felix Yan says:
2010/01/27 at 16:22
多谢!
Reply
amoiist says:
2010/01/27 at 16:18
不错,我建议增加图解教程
Reply
Felix Yan says:
2010/01/27 at 16:23
我这里是英文版 >.< 那我就先用英文版截图吧,稍候更新!
Reply
flying19880517 says:
2010/01/27 at 16:14
靠靠靠,CNNIC啥时候也成可信证书了?各位推油抓紧删掉并加入不信任证书中,下面是步骤 http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
EnochLu says:
2010/01/27 at 16:13
赶紧去做。RT @LawyerCPA: RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://felixcat.net/2010/01/throw-out-cnnic/ #AntiGFW
This comment was originally posted on Twitter
Reply
_J_Smith says:
2010/01/27 at 16:12
用Mac吧………..又多了一个用Mac的理由….RT @yqz RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
似水无痕 says:
2010/01/27 at 16:38
Mac也不安全,也会加的,等着看吧
Reply
似水无痕 says:
2010/01/28 at 07:29
Mac中也有此证书
Reply
Felix Yan says:
2010/01/29 at 14:27
是的,已证实。
Reply
陈少举 says:
2010/01/27 at 16:11
其实一般是不建议删除的,因为删除证书后可能会出现要求安装的提示。
对于Windows系统,IE/Chrome推荐取消它的证书目的,具体的操作办法是:
打开certmgr.msc,找到CNNIC Root并双击,然后转到详细信息选项卡,点击“编辑属性”按钮,然后将证书目的选择“禁用此证书的所有目的”即可。
Reply
Jimmy Xu says:
2010/01/27 at 16:14
在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的,并不会将其删除。
Reply
Felix Yan says:
2010/01/27 at 16:21
我这个是把CNNIC加到了Untrusted下,没有删除……
Reply
superbass says:
2010/01/27 at 16:30
可以将证书直接拖放到不信任的目录里的
Reply
@nyliulei says:
2010/01/27 at 19:37
谢谢,已经禁用CNNIC。
Reply
砼砼 says:
2010/01/27 at 16:10
转载掉
Reply
陈佳 says:
2010/01/27 at 16:05
我也不信任CNNIC,我现在用的是Chrome,暂时不用改。
Reply
Felix Yan says:
2010/01/27 at 16:07
我这个步骤是为了预防微软的下一个更新把CNNIC加入:)
Reply
qqqfreeboycn says:
2010/01/28 at 23:41
我按照以上步骤作了后,ie直接就提示该页无法显示,但是我只想要一个警告页面,应该怎么做,我的微软似乎已经加入cnnic了
lihlii says:
2010/01/27 at 17:00
我检查我的 Chrome 4.0.249.78 时发现 CNNIC 的根证书已经加入,反而 Firefox 3.5.7 里面没有。所以都要检查。系统更新,软件安装和更新都可能会增加新的根证书。
Reply
Felix Yan says:
2010/01/27 at 17:03
是的,我稍微改一下文章,谢谢提醒:)
Reply
njhuar says:
2010/01/27 at 17:00
其实一般是不建议删除的,因为删除证书后可能会出现要求安装的提示。对于Windows系统,IE/Chrome推荐取消它的证书目的,具体的操作办法 是:打开certmgr.msc,找到CNNIC Root并双击,然后转到详细信息选项卡,点击“编辑属性”按钮,然后将证书目的选择“禁用此证书的所有目的”即可。
This comment was originally posted on FriendFeed
Reply
wander says:
2010/01/28 at 10:37
这个可行。已经关闭了。~
Reply
ddelphi says:
2010/01/27 at 16:55
twit特游学观光团,特此来学习
Reply
fantasysummer says:
2010/01/27 at 16:54
虽然存在.但是已经变成未知无法验证了. RT @XuesongChou: 我在自己FF3.6上,删除之后它们还在…RT @williamlong RT @terryxxy: CNNIC,我不信任你!… http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
larryli says:
2010/01/27 at 16:54
测试当前浏览器是否支持 CNNIC Root 证书。请访问 https://www.enum.cn/ 如果浏览器显示警告提示就是不支持,没有任何警告就是已支持。详细请参阅 http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
shippo7 says:
2010/01/27 at 16:53
添加到 certmgr.msc 的“不信任的证书”之后,在“受信任的根证书颁发机构”中还有 ”CNNIC ROOT“ 和 ”Entrust.net Secure Server Certification Authority“ 两个,是不是应该删除?
Reply
Felix Yan says:
2010/01/27 at 16:57
不是很清楚,您可以尝试删除与不删除情况下访问 https://www.enum.cn/ 是否提示证书无效:)
Reply
danielbody says:
2010/01/27 at 16:44
学习了,CNNIC,哎!
Reply
binnychen says:
2010/01/27 at 16:43
哈,CNNIC谁叫你RP太臭了! RT @williamlong: RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
mouren says:
2010/01/27 at 16:42
Entrust.netSecureServerCertificationAuthority证书到底是什么?
Reply
南 靖男 says:
2010/01/27 at 17:03
cnnic.cn 是用的 Entrust.net Secure Server Certification Authority 颁发的证书。
Reply
南 靖男 says:
2010/01/27 at 16:41
如果直接访问这个网站没有提示 https://www.enum.cn/ 就是已安装了 CNNIC Root 证书。
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
https://bugzilla.mozilla.org/show_bug.cgi?id=525008
Reply
Felix Yan says:
2010/01/27 at 16:49
谢谢提醒!
Reply
XuesongChou says:
2010/01/27 at 16:40
我在自己FF3.6上,删除之后它们还在…
RT @williamlong RT @terryxxy: CNNIC,我不信任你! ——从“受信任的根证书”里赶走CNNIC http://tinyurl.com/yc9apog
This comment was originally posted on Twitter
Reply
野草博客 says:
2010/01/27 at 16:40
野草倒觉得似无必要。
Reply
Felix Yan says:
2010/01/27 at 16:49
我主要是担心某天访问Gmail,变成了CNNIC的签名,用户还毫不知情……
Reply
野草博客 says:
2010/01/28 at 09:18
只要访问的确实是Google的Gmail,应该就不会有安全隐患吧?
Reply
lehui99 says:
2010/01/29 at 17:19
确实是Google的Gmail,仍旧有安全隐患。正因为如此,才要去掉CNNIC。可以看月光博客中的《破解Google Gmail的https新思路》。
Reply
Felix Yan says:
2010/01/29 at 18:13
如果是DNS劫持,然后虚假IP又被CNNIC自己签名,则浏览器不会有任何警示,仍然可以正常访问Gmail。
Reply
pinkpck says:
2010/01/27 at 16:35
两个方法我都试过,全部都找不到我firefox里面的CNNIC……
Reply
Felix Yan says:
2010/01/27 at 16:37
3.6新版的Firefox里才有的:)
Reply
走神 says:
2010/01/27 at 16:33
艹,忘了一直开着PUFF,我竟在美国。
Reply
似水无痕 says:
2010/01/27 at 16:42
我是直接访问的,为啥我会在澳大利亚?
Reply
Felix Yan says:
2010/01/27 at 16:52
可能是IP库有问题 >.<
Reply
似水无痕 says:
2010/01/27 at 17:11
爬牆在米國
Reply
似水无痕 says:
2010/01/27 at 18:41
你这插件显示我的就没一个对的,我在中国、使用的是Chromium访问、系统是2008r2
(╯﹏╰)
Reply
Felix Yan says:
2010/01/27 at 18:51
杯具(╯﹏╰)
Reply
走神 says:
2010/01/27 at 16:31
Untrusted Certificates-不信任的证书
Certificates-证书
All Tasks-所有任务
Import-导入
我是直接下载的证书导入的。只用到了这几步。
Reply
Felix Yan says:
2010/01/27 at 16:41
如果您不使用Firefox浏览器,这样操作就可以了:)
Reply
blacktulip says:
2010/01/27 at 16:31
我每次从firefox里面删掉,下次打开它又自己加进来了,不知道怎么搞。
Reply
Felix Yan says:
2010/01/27 at 16:35
这个删掉一次就可以了,您单击编辑(Edit),会发现三个勾都处于未勾选,这样这个证书就起不到任何作用了:)
Reply
OneWingedAngell says:
2010/01/27 at 16:31
猫猫~我来晚了……我的op里面没有~~~~
Reply
Felix Yan says:
2010/01/27 at 16:39
貌似OP不可这样操作..我还没弄清楚
Reply
wsky says:
2010/01/27 at 16:30
4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“和”CNNIC SSL“证书,同样导出并删除。
=====
没有找到”CNNIC SSL“
Reply
Felix Yan says:
2010/01/27 at 16:41
最新3.6版的Firefox里才有的:)
Reply
wsky says:
2010/01/27 at 17:03
是3.6的
只找到前两个,最后一个”CNNIC SSL“没找到
还有就是Entrust.net Secure Server Certification Authority这个有两个
Reply
Felix Yan says:
2010/01/27 at 17:06
有两个,请对照一下序列号:)(文中已更新)
Reply
wsky says:
2010/01/27 at 17:13
”CNNIC SSL“证书这个证书还是没找到.有点奇怪.
Reply
wsky says:
2010/01/27 at 17:18
确认我的Firefox 中没有这个证书.
用Firefox点击您给的下载地址,弹出提示让我信任并安装,我把所有勾去掉之后安装了.效果应该是一样的吧
Reply
Felix Yan says:
2010/01/27 at 17:46
应该是一样的效果,可能是Firefox没有自带这个证书……
Reply
1492 says:
2010/01/27 at 19:00
我的也没有CNNIC SSL这个证书
Reply
Felix Yan says:
2010/01/27 at 19:13
可能确实是这样,这个证书也是CNNIC采用的,但它不是开始就有的……您可以下载我上面给的一个CNNIC SSL证书,并禁止掉:)
Reply
superbass says:
2010/01/27 at 16:29
偶之前在window update里的可选更新项中把新的根证书更新了,在certmsg.msc里查一下果然有cnnic
Reply
zwwooooo says:
2010/01/27 at 16:29
不信任CNNIC
calmcamel says:
2010/01/27 at 18:43
谢这个分享 http://felixcat.net/2010/01/throw-out-cnnic/ 已将CNNIC在firefox里面的三项删除
This comment was originally posted on Twitter
Reply
jumbleh says:
2010/01/27 at 18:36
为了网络更安全,把CNNIC ban掉的方法 http://bit.ly/ag54ly
This comment was originally posted on Twitter
Reply
Dianso says:
2010/01/27 at 18:32
我也要赶走cnnic
Reply
Walter Gu says:
2010/01/27 at 18:07
谢谢Felix Yan,我已经把CNNIC赶走了!
BTW,可以显示评论国籍、浏览器、操作系统图标的插件是什么呢?
Reply
Felix Yan says:
2010/01/27 at 18:20
插件名是“Comment Info Detector” :)
Reply
Walter Gu says:
2010/01/27 at 18:31
已经安装到我的博客了,THX!
Reply
coolsin says:
2010/01/27 at 17:43
根证书发布者是什么意思啊,对用户有什么具体影响,博主能解释下吗
Reply
Felix Yan says:
2010/01/27 at 17:50
根证书的概念,可以参考百度百科:http://baike.baidu.com/view/554880.htm
Reply
jaleo says:
2010/01/27 at 17:30
我发现其实只要把Firefox里的相关证书 edit一下 取消3个勾就可以了。不需要删除也可以达到目的。
Reply
Felix Yan says:
2010/01/27 at 17:41
这两种操作是相同的结果:)
Reply
啊哈 says:
2010/01/27 at 17:27
已经有了怎么删掉?
Reply
jaleo says:
2010/01/27 at 17:25
windows 7下的IE8里自带了cnnic的证书,不过导出后直接导入到不信任证书里就可以了。
Reply
Felix Yan says:
2010/01/27 at 17:41
最新的更新后,确实会直接就有:)
Reply
星网 says:
2010/01/27 at 17:24
我是小P孩~!不知道CNNIC是啥~!
Reply
Felix Yan says:
2010/01/27 at 18:01
http://www.cnnic.net.cn/index.htm
Reply
zshleon says:
2010/01/27 at 17:18
#CNNIC 已将3个证书加入不信任列表(教程http://felixcat.net/2010/01/throw-out-cnnic/),现在打开https: //www.enum.cn/进不去了
This comment was originally posted on Twitter
Reply
anlore says:
2010/01/27 at 17:14
我在我的FIREFOX中文版里没有找到CNNIC的相关证书….
无法继续操作了…
Reply
Felix Yan says:
2010/01/27 at 17:20
可以下载我上面提供的三个证书,然后导入到“不信任”列表:)
Reply
泡面 says:
2010/01/27 at 17:14
这东西有啥用?
Reply
alswl says:
2010/01/27 at 17:14
Twitter观光团
不信任CNNIC
Reply
iBoluo says:
2010/01/27 at 17:12
-_-;无视, Safari 党飘过。
Reply
Felix Yan says:
2010/01/27 at 17:16
我在Safari上没找到证书设置=。=
Reply
kyt30 says:
2010/01/29 at 11:05
哪个OS、浏览器都要用证书的
网络基本安全机制,不是无视可以的
Reply
xiange says:
2010/01/27 at 17:11
【GR分享】 CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog: Shared by 流水弦歌 这个很重要,Firefox用户要实践一把 出于… http://goo.gl/fb/h8SF
This comment was originally posted on Twitter
Reply
ZZ says:
2010/01/27 at 17:10
我的还没有- -
Reply
Felix Yan says:
2010/01/27 at 17:14
可能还没更新:)
Reply
散人 says:
2010/01/27 at 17:09
更新了嘛,上gmail
Reply
Anonymous says:
2010/01/27 at 17:05
没找到CNNIC ROOT,汗,后面两个倒是找到了
Reply
larryli says:
2010/01/27 at 17:01
@Ratoo 请看 http://felixcat.net/2010/01/throw-out-cnnic/ CNNIC 自己是用的 Entrust.net Secure Server Certification Authority 颁发的证书。
This comment was originally posted on Twitter
Reply
wenhaoy says:
2010/01/27 at 17:01
@free_all_POC http://felixcat.net/2010/01/throw-out-cnnic/ 按这个来 #GFW #GoogleCN
This comment was originally posted on Twitter
lh says:
2010/01/28 at 18:49
opera里面没有介绍。比较简单,直接可以看到cnnic,然后去掉允许连接的勾勾就好了
Reply
张马丁 says:
2010/01/28 at 16:20
我删了。不信任cnnic
Reply
wjc says:
2010/01/28 at 14:14
网易邮箱reg.163.com因为证书发行者CNNIC SSL不受信任而无法登陆。
Reply
Felix Yan says:
2010/01/28 at 14:37
这个可以“特批”一下:)
Reply
Ya says:
2010/01/29 at 09:08
怎么特批呢?谢谢。
Reply
philay says:
2010/01/29 at 09:38
是临时允许,还是近允许163.com?
ps,firefox更新到新版本后应该不会自动更新证书吧?
Reply
Felix Yan says:
2010/01/29 at 13:51
可以把自己信任的特批= =……至于临时还是永久,这个看你的信任程度了:)
Reply
Mini Dragon says:
2010/01/28 at 13:57
学习了.
Reply
jayxu says:
2010/01/28 at 19:57
我正在看:CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog // 已删除CNNIC证书
http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
elvis_w says:
2010/01/28 at 19:05
#GR CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC | Felix’s Blog http://j.mp/a8AHYx // 杯具啊,微软你居然和CNNIC狼狈为奸了
This comment was originally posted on Twitter
Reply
ledled says:
2010/01/28 at 10:58
删除FF3.6的证书重启之后怎么又回来了?大家都一样么?
Reply
Felix Yan says:
2010/01/28 at 12:34
是这样的,不过您测试访问那个测试地址,提示阻止就可以了:)
Reply
VPN代理服务器 says:
2010/01/28 at 10:22
都没人提Opera的吗?
Ctrl+F12 -安全性-管理证书
证书办法机构-CNNIC ROOT
双击
把 允许连接到使用该证书链接的网站 去掉
应该是这样操作,^_^
Reply
Felix Yan says:
2010/01/28 at 12:35
应该是这样,谢谢:)
Reply
thomas says:
2010/01/28 at 09:46
我已经提交Mozilla了,要求去掉这个证书,详细参见:
https://bugzilla.mozilla.org/show_bug.cgi?id=542689
Reply
Felix Yan says:
2010/01/29 at 13:32
多谢,希望能有一个满意的结果:)
Reply
yuanjin says:
2010/01/28 at 09:37
我用的是Ubuntu下的firefox 3.5.8pre,看了一边证书,发现没有找到CNNIC ROOT,是不是只有3.6才添加了那个证书呢?
Reply
Felix Yan says:
2010/01/28 at 12:50
是的,您可以加进去标为不信任:)
Reply
yuanjin says:
2010/01/28 at 22:04
我想知道你在回复人后面显示的包括国家浏览器以及操作系统的插件是什么?网上找了下,有个叫Comment Info Detector的似乎可以实现,但是插件已经有将近5个月没有更新了。
Reply
Felix Yan says:
2010/01/29 at 18:11
我使用的正是这个插件:)我觉得插件很久没更新是没关系的,只要证明了和您使用的WP版本之间兼容就可以:)
Reply
haozi04 says:
2010/01/27 at 22:20
按照 http://is.gd/79slb 的说明把CNNIC证书拉黑了,结果发现网易战网就是CNNIC的root证书……唉
This comment was originally posted on Twitter
Reply
馬蜂 says:
2010/01/27 at 20:00
我想問ubuntu下Firefox3.5.7要不要如此這般一番?
Reply
wander says:
2010/01/28 at 10:40
我的FF3.5.7里没有CNNIC的证书,但是打开上边提供的那个网页却发现可以访问,然后运行命令关闭的。
晕。。你用的Ubuntu啊,我还准备说让你看看IE呐。哈哈哈哈
Reply
Jimmy Xu says:
2010/01/27 at 19:51
“Disable all purposes for this certificate”->停用这个证书的所有目的。
那个图可以拿来用~
Reply
Felix Yan says:
2010/01/28 at 14:36
多谢,已更新:)
Reply
terryxxy says:
2010/01/27 at 19:49
CNNIC 那个,不需要关闭自动更新,上述步骤多了第9步,请注意! 请前往 http://felixcat.net/2010/01/throw-out-cnnic/ 再次查看操作步骤
This comment was originally posted on Twitter
Reply
yunshan says:
2010/01/27 at 19:39
ubuntu9.10+chromium如何设置?
Reply
黑黑 says:
2010/01/27 at 19:28
谢谢哦,学会啦
Reply
Pingguan says:
2010/01/27 at 19:19
最近出口抽风厉害(Yahoo邮箱慢死,hotmail死翘翘几天)只好长期挂上VPN。并听网上建议删除了CNNIC的证书:http: //j.mp/dh9LNh
This comment was originally posted on Twitter
Reply
QiFei says:
2010/01/27 at 18:53
已经删除证书。
Reply
wenhaoy says:
2010/01/27 at 18:52
@nbzyj http://is.gd/78qTH //RT 求方法 @wenhaoy: @free_all_POC 呵呵,这倒不是因为在不在国内下载的。CNNIC进受信根证书列表本身没错,但是鉴于他的口碑。。。还是删掉安全 #GFW #GoogleCN
This comment was originally posted on Twitter
Reply
shhboy says:
2010/01/27 at 18:50
For Windows vista/7: 运行->gpedit.msc->计算机配置->管理模板->系统->Internet通信管理-> Internet通信设置->(“启动”)关闭自动根证书更新
Reply
Felix Yan says:
2010/01/27 at 19:02
多谢^_^
何處不腥膻 says:
2010/01/29 at 11:58
OS是archlinux
瀏覽器是firefox3.5.7
在“編輯-首選項-高級-加密-查看證書-證書機構-Entrust.net-CNNIC“已經找到CNNIC,已刪除。
看來並不是只有3.6才有這個證書,3.5.7已經有了!
Reply
Felix Yan says:
2010/01/29 at 13:24
可能这个证书是您安装其他组件的时候带进来的:)
Reply
philay says:
2010/01/29 at 11:26
我是XP系统,在参考上文中“添加/删除组件”,即关闭自动更新跟目录,并点击下一步时,提示要插入安装光盘。如何解决?或者说具体是XP下如何取消自动 更新根目录?
Reply
Felix Yan says:
2010/01/29 at 13:26
新方法按第九步操作即可,后文灰色字是旧方法:)
Reply
GFW says:
2010/01/29 at 10:50
已经禁用,虽无多大作用。
感谢作者!
Reply
善逛网 says:
2010/01/29 at 09:45
寒~~~~~~~~~~~~~~~~
This comment was originally posted on Scavin Weblog
Reply
picasa2 says:
2010/01/29 at 09:45
按照此文操作了一下,禁用了cnnic证书。http://is.gd/7fWzf
This comment was originally posted on Twitter
Reply
bangbangbee says:
2010/01/29 at 09:01
http://ow.ly/11Bx0 CNNIC,我不信任你–从“受信任的根证书”里赶走CNNIC RT @fuckcpc: 抛弃火狐,我是被逼的! //Firefox和微软已将CNNIC添加到根证书列表中 http://ow.ly/11BxM
This comment was originally posted on Twitter
Reply
ROBBER says:
2010/01/29 at 03:43
这下可好。mail.163.com也登陆不了了。
Reply
Felix Yan says:
2010/01/29 at 13:27
您可以将163邮箱进行特批:)
Reply
ee says:
2010/01/31 at 07:40
用gmail更好
Reply
xy says:
2010/01/28 at 23:58
テスト
Reply
qqqfreeboycn says:
2010/01/28 at 23:38
我按照以上步骤作了后,ie直接就提示该页无法显示,但是我只想要一个警告页面,应该怎么做
Reply
Felix Yan says:
2010/01/29 at 14:00
这个我还真不知道,XD
希望能有网友解答:)
Reply
hello world says:
2010/01/28 at 22:42
哇哈哈,弄好了
Reply
chac says:
2010/01/28 at 22:12
已经禁用 谢谢 天朝太可怕了
Reply
link says:
2010/01/28 at 21:54
第9步的作用是什么?
我没做这步操作也能无法访问https://www.enum.cn/, Firefox提示“此连接是不受信任的”
Reply
Felix Yan says:
2010/01/29 at 13:28
第9步是防止Windows自动证书更新的时候又把它加到“受信”组中:)
Reply
dupola says:
2010/01/28 at 21:45
我用的是Firefox便捷版,”Entrust.net“组里没有 CNNIC SSL,这怎么办?
Reply
Felix Yan says:
2010/01/29 at 14:00
CNNIC SSL可以从本文的链接中下载然后禁用,lol
Reply
ww says:
2010/01/31 at 07:42
氵干
Reply
mediog says:
2010/01/28 at 21:44
博主你好,为什么我按你的做法操作了,firefox3.5 和 IE6 都依然能正常访问https://www.enum.cn/ 这个网站?因为我是偶然搜索到贵博客的,可以回复到我的Email里去吗?万分感谢
Reply
Felix Yan says:
2010/01/29 at 13:30
请问您能提供更详细一点的信息吗?我从这个描述里没找到问题 @_@
Reply
mediog says:
2010/01/29 at 16:27
谢谢博主你的关注。我想了很久,也想不出怎么提供更详细的信息了。我是按着博主所描述的一步步操作下去的。由于我用的是Fx3.5,因此我是下载了证书来 进行操作的。每一个步骤我都确认完全照做,没有问题的。但是依然没有效果。Fx和IE还是照样正常访问那个网站。我猜想会不会是其他因素的影响?
Reply
mediog says:
2010/01/29 at 16:49
博主你好,问题解决了。是我自己的问题。首先是博主文章中的“受信任的证书颁发者” ,这个我没找到,因此误理解为“受信任的发行者”,其实应该是“受信任的 根 证书颁发者”。所以停用行为无效。而firefox方面,因为我用的是Fx3.5 ,而且找不到CNNIC BOOT这个证书,所以我想当然地认为其他两个证书也没有,结果再次检查却发现了他们的足迹,把他们删除后就能正常屏蔽了。
PS:我在Fx里删证书的时候不小心删除错了另一个,而且我不知道是哪一个。这个要怎么办?有影响吗?
Reply
Felix Yan says:
2010/01/29 at 18:10
您好,误删除的证书在重启firefox后会重新出现,只是其功能的三个勾会全部处于未勾选状态。如果您记得大致的位置,可以找到相应的证书,重新勾上那 三个勾:)
Reply
mediog says:
2010/01/30 at 10:08
明白了,感谢博主
Reply
LVFV says:
2010/01/28 at 20:53
如果是在mac os x的safari里是找不到这个设置的,在application—-utility—-钥匙串里,搜索cnnic,可以得到cnnic root证书,显示信息——永不信任即可。
Reply
Felix Yan says:
2010/01/29 at 13:53
多谢提供!
Reply
hanmiao says:
2010/01/28 at 20:22
我昨天看到过那篇文章,介绍如何将其加入不信任列表,今天又看到你的文章介绍这件事,虽然不是很明白为什么要这样做,但我还是照着做了。现在已经试验成 功。PS:你的博客使用的评论字体在Firefox3.0下太小了,看不太清楚。
This comment was originally posted on Scavin Weblog
Reply
C.C. says:
2010/01/28 at 20:17
按照楼主的方法,IE8已经打不开那个测试网站了,但是ChromePlus既然可以打开….
怎么回事?
Reply
Felix Yan says:
2010/01/29 at 13:37
这个还真不清楚……望网友解答哈
Reply
GooogLL says:
2010/01/28 at 20:06
也把CNNIC的证书弄掉了,虽然我不知道证书是干嘛用的。http://felixcat.net/2010/01/throw-out-cnnic/
This comment was originally posted on Twitter
Reply
Deloz says:
2010/01/28 at 19:46
感谢,已经删除2个,另外的那个CNNIC SSL没有这项…
进那站,我的IE8没出现那个警告..
Reply
Deloz says:
2010/01/28 at 19:53
补充: IE8打不开那个加https的链接, 只是警告,应该没事了
Reply
Felix Yan says:
2010/01/29 at 13:33
CNNIC SSL可以从本文的链接中下载然后禁用:)
Reply
翎风 says:
2010/01/28 at 19:11
赶紧这么做,不能信流氓
ir77 says:
2010/01/30 at 15:01
我也找不到cnnic ssl这个证书,不过我修改之后就会提示https://www.enum.cn/的证书不受信任。
Reply
Felix Yan says:
2010/01/30 at 16:42
CNNIC SSL 就是www.enum.cn证书的发布者,找不到属正常情况,详见我更新的提示:)
Reply
C.C. says:
2010/01/30 at 14:58
https://www.enum.cn/ 看了下这网站的证书
CNNIC ROOT 顶楼下载已提供
CNNIC SSL,由CNNIC ROOT颁发,顶楼没有 (顶楼提供的CNNIC SSL是由entrust颁发的版本)
按照顶楼方法禁止证书后,IE访问说Internet Explorer 无法显示该网页,Chrome正常
只有自己再把www.enum.cn这个证书添加并禁用后,IE和Chrome才会显示安全证书有问题的提示
Reply
Felix Yan says:
2010/01/30 at 16:40
您好像是禁用了证书,而没有禁用“受信任的证书颁发者”,请仔细检查一下这个问题:)
Reply
Lieerx says:
2010/01/30 at 12:44
http://felixcat.net/2010/01/throw-out-cnnic/ 主要浏览器都提到了。。。唯独chrome好像米办法禁用那个证书。。。呃,求解答
This comment was originally posted on Twitter
Reply
chenxiccc says:
2010/01/30 at 12:23
> @wenhaoy: @nbzyj http://is.gd/78qTH //RT 求方法 @wenhaoy: @free_all_POC 呵呵,这倒不是因为在不在国内下载的。CNNIC进受信根证书列表本身没错,但是鉴于他的口碑。。。还是删掉安全 #GFW #Googl…
This comment was originally posted on Twitter
Reply
kyt says:
2010/01/30 at 01:10
很诡异的问题
etrust那个firefox 3.5.7始终删除不掉,不过会组织HTTPS
另外root ssl etrust加到不信任里面,信任里面禁用目的后
ie还是能打开,当然毫无疑问chrome也打开了
东点点西点点,发现一个使用的证书是另外一个cnnic ssl发给enum的10年10月过期的证书,禁用后ie/chrome也禁止https了
Reply
Felix Yan says:
2010/01/30 at 12:42
额,还有另一个CNNIC SSL?
Reply
kyt says:
2010/01/30 at 13:09
这篇文章里给的SSL颁发者是ENTRUST,颁发给CNNIC(简称1号SSL好了)
我说的另一个是
颁发者CNNIC SSL
颁发给 http://WWW.ENUM.CN
预期目的 服务器验证
过期时间 2010.10.20
(那这个简称2号SSL)
证书不了解,感觉这个SSL似乎是证书颁发的中间一层
但是我的IE/CHROME必须同时禁掉2号SSL才能阻止访问网站
Reply
Felix Yan says:
2010/01/30 at 13:11
我上面说要同时禁止3个证书才有效,而不是删除,您是这样操作的吗?
Reply
kyt says:
2010/01/30 at 17:54
firefox 3.5.7的情况:
cnnic root 一开始我就没有
cnnic ssl被我删了
entrust 删了
重启fx 3.5.6
cnnic ssl没了
entrust 还在,反复操作无果
但是全部不勾选,访问https还是禁止了,效果达成
再来说IE/chrome
三个证书,在 不受信任的证书 导入,OK
在信任证书导入,然后再信任证书中禁止目的,OK
尝试https,依然可以连接上
我的情况和上面的CC应该是一样的,必须再次手工添加CNNIC SSL颁发给www.enum.cn的证书到不信任里面才能阻止访问
UPDATE:
发这篇回复时我再次完整、仔细的尝试了一次,这次成功了,我不需要自己手工加www.enum.cn的证书了
但是我非常确信先前的操作没有问题
由于CC也有同样问题,我相信这是一个系统的问题,如果有相同问题的,需要多次多次重复操作(在信任证书中,开启所有目的,然后再关闭所有目的,这样反复 多次)
Reply
Felix Yan says:
2010/01/30 at 23:06
您好像是禁用了证书,而没有禁用“受信任的证书颁发者”,请仔细检查一下这个问题:)
Reply
kyt says:
2010/01/31 at 02:33
再一次看了一下说明
发现我有搞错的地方,确实是禁用了证书而不是禁止颁发机构
怪我先前没看图
不过您的 “受信任的证书颁发者” 和配图(Jimmy Xu 供图)对不大上,英文确实应该是Trusted Root Certification Authorities,但是中文(包括图中和我自己机器上)翻译是“受信任根证书颁发机构”
PS。我的根证书颁发机构里只有CNNIC ROOT 和ENTRUST,没有SSL
是否一定要导入SSL再禁用
这个SSL属于中级颁发机构吧,会有影响吗
Reply
kyt says:
2010/01/31 at 02:38
还是会有问题
现在情况是IE网络问题无法访问了,CHROME正常了,哈哈哈,我奔溃了,明天再试试看,或者看看其他人到底怎么回事情
Reply
Felix Yan says:
2010/01/31 at 02:42
哦……是翻译问题啊……十分抱歉……!中级机构最好还是加进去,:)
Reply
kyt says:
2010/01/30 at 00:49
奇怪,照着做了开始是打不开了,浏览器重启一次又能打开了,fx3.5.7,entrust那个删不掉
Reply
Felix Yan says:
2010/01/30 at 12:42
删不掉是正常的,请看新步骤,新步骤不是删除:)
Reply
kyt says:
2010/01/30 at 00:07
为什么我一台机器上fx3.6没有看到ssl
另一个台fx3.5看不到root?
另外我添加进不信任证书后,在不信任证书中的属性栏选择了禁止证书目的,IE就不可访问ENUM了
再去受信任的证书颁发者里导入并设置是否必要?
Reply
Felix Yan says:
2010/01/30 at 12:43
再去受信任的证书颁发者里导入并设置是必要的,否则自动更新时会把那个证书重新信任上
Reply
C.C. says:
2010/01/29 at 23:26
系统:XP sp3
浏览器:IE8,ChromePlus1.3.6.0 (基于Chromium4.0.295.0)
按照顶楼的顺序设置,IE8无法访问https://www.enum.cn/
但是提示的是:Internet Explorer 无法显示该网页,而不是安全证书问题
Chrome依旧可以访问https://www.enum.cn/ 没出现任何提示….
真神奇啊
Reply
Felix Yan says:
2010/01/30 at 12:47
您确认是按照最新的步骤操作的吗?
Reply
philay says:
2010/01/29 at 22:39
我已经是管理员身份了,为何在ff下导出证书时提示我没有权限打开该文件呢?win7 x86
Reply
Felix Yan says:
2010/01/30 at 12:43
导出之后不要打开
Reply
philay says:
2010/01/29 at 22:38
我是win7 x86中文旗舰版,为何在firefox下导出证书时,提示我没有权限打开该文件呢?请指教!
Reply
Felix Yan says:
2010/01/31 at 11:41
这个文件不是用来打开的 @_@
Reply
Dianso says:
2010/01/29 at 21:30
哈哈,上google第一页了。
This comment was originally posted on Scavin Weblog
Reply
ipkk says:
2010/01/29 at 19:14
好吧~~必须要导出么?我只选择DELETE可以么?
Reply
Felix Yan says:
2010/01/29 at 19:32
导出是为了在Windows证书管理器中导入,如果不需要这么做,您可以仅在Firefox中取消勾选(新操作,详见文中3、4步)
Reply
St. Chen says:
2010/01/29 at 18:29
还是用safari吧
Reply
Felix Yan says:
2010/01/29 at 18:34
safari也有相同问题的:-(
Reply
steven says:
2010/01/29 at 17:38
按照楼主的做法做了,ff和ie的确都无法访问那个网站,但是好像ie有点问题,看到楼主的截图ie提示的信息是This is a problem with this website’s security certification,但是在我的ie8里提示是Internet Explorer cannot display the webpage,这是怎么回事,好像这样的话我就没有办法在无法访问的时候添加一个例外? 麻烦楼主替我解答一下。
另外,这样操作以后,在safari,chrome,opera中仍然可以正常访问。
Reply
Felix Yan says:
2010/01/29 at 18:30
不好意思,原方法有少许错误,请参考1/29,6:30 PM的更新:)
Reply
William says:
2010/01/29 at 16:56
该方法对Firefox 3.6里面的CNNIC SSL无效。
删除CNNIC SSL是真的把这个证书删了(另外两个不是真删除),一更新又回来了(我也不知道更新了什么。。。),那个测试页又能顺利地打开。而此时CNNIC SSL在Edit的三个勾都是取消掉的。
这是怎么回事?
Reply
Felix Yan says:
2010/01/29 at 18:29
多谢提醒,已更新方法:)
Reply
William says:
2010/01/29 at 19:26
还是没有用额…
如果直接删掉的话,能够阻止测试网址。
如果存在CNNIC SSL这个证书,即使三个勾都不勾选,依然能够顺利打开测试网址。
主要问题是,即便删除,以后也会神不知鬼不觉地溜进来。
Reply
Felix Yan says:
2010/01/29 at 19:34
删除是确实会重新进来,但是删除和三个都不勾选基本是相同作用;而三个都不勾选应该就不能打开测试网址了啊……
Reply
William says:
2010/01/29 at 21:13
这就奇怪了,不知道我哪里出了问题……
Reply
Felix Yan says:
2010/01/29 at 21:48
patpat,我继续研究,发现问题第一时间来回答您:)
Reply
latte says:
2010/01/29 at 13:39
把CNNICSSL.crt下载后导入,禁用,依然可以正常访问https://www.enum.cn/
Reply
Felix Yan says:
2010/01/29 at 13:56
三个证书都完全禁用,并且在信任的列表里取消了全部功能了吗?
Reply
latte says:
2010/01/30 at 10:22
是的。完全禁用都取消功能了。依然不行
Reply
huboo says:
2010/01/29 at 13:34
网易的战网服务器使用了CNNIC SSL的证书,如果是玩cwow的需要充值,可以使用FF添加该例外。
Reply
Felix Yan says:
2010/01/29 at 13:57
这个是FF例外吗?我感觉貌似是Win的……
Reply
huboo says:
2010/01/29 at 17:25
我试过IE跟Chrome,这个例外看来是只针对FF的。以下是截图:http: //huboo.eblhost.cn/upload/20100129170118_39667.gif
Reply
huboo says:
2010/01/29 at 17:29
突然发现你的gravatar也是只猫。不知道回复可以使用什么代码,就直接贴了图片地址。
Reply
Felix Yan says:
2010/01/29 at 18:07
Reply
Felix Yan says:
2010/01/29 at 18:08
就是普通的HTML代码:)
Reply
Felix Yan says:
2010/01/30 at 17:27
用BBCode也是可以的:)
Reply
latte says:
2010/01/29 at 13:33
为何证书管理器里找不到CNNIC SSL?XP系统。。。
其他都正常操作了,但是依然可以正常访问https://www.enum.cn/
Reply
free_all_POC says:
2010/01/29 at 13:06
@ethereps 这样做不够,还有两个证书也要去掉才完整。http://goo.gl/56bm
This comment was originally posted on Twitter
Reply
April says:
2010/01/29 at 12:55
为啥看不到我的留言了 昨天我就留言了的 说把那3个证书删除之后Brizzly网站也运行不了 缺少第三个证书(证书名最长的那个)
Reply
Felix Yan says:
2010/01/29 at 13:24
抱歉,我这里有设置第一次留言需要审核,以防spam,希望能原谅:)Brizzly网站的问题我再去看看
zhaomin57 says:
2010/01/31 at 14:55
比较菜,没有太看明白你的文章。请问一下,我是 xp xp3 简体中文版,IE6 ,我右击桌面的Internet Explorer图标—>属性—>内容—>证书—>受信任的根证书颁发机构,其中并没有CNNIC ,那我是不是什么都不用做?谢谢!! (PS:我通过windows update装过很多补丁,但是那个可选的根证书更新,我从来没有装过)
Reply
Felix Yan says:
2010/01/31 at 14:57
不是,您浏览网站时也会自动根据证书的信任链安装上那个证书并且把它标记成可信的……最好是现在导入然后标记为不可信,这样更加可靠:)
Reply
zzxxcc says:
2010/01/31 at 14:29
不错的文章,很讨厌CNNIC,坚决清除之!
Reply
无法登陆163邮箱 says:
2010/01/31 at 13:01
修改之后,163邮箱无法登陆。。。。
Reply
Felix Yan says:
2010/01/31 at 13:37
是这样的,您可以单独信任一下163的证书:)
Reply
ww says:
2010/01/31 at 04:46
呵呵,改用google浏览器.
Reply
Felix Yan says:
2010/01/31 at 11:39
Google浏览器用的也是操作系统的证书设置= =
Reply
ww says:
2010/01/31 at 04:40
看来到中国大陆旅行先要删除Add/Remove Programs程序?
Reply
ww says:
2010/01/31 at 04:29
本人在海外,看了一篇”抵制CNNIC根证书行动”网文,立即在本电脑查找CNNIC根证书,很幸运没找到CNNIC根证书,(注:本电脑Windows Update的所有补丁都打齐的).看来微软内外有别,双重标准?
Reply
Felix Yan says:
2010/01/31 at 11:40
微软的可选补丁您也打全了吗?
Reply
zl says:
2010/01/31 at 02:31
光这样不行,关掉IE后再打开又有了,得关掉微软根证书的更新(在程序追加里)
Reply
Felix Yan says:
2010/01/31 at 02:40
新增加的第九步就是为了免除关闭更新:)
Reply
kkddgcd says:
2010/01/31 at 00:34
有啊,我刚试了一下,能登录,0.0!
Reply
kkddgcd says:
2010/01/31 at 00:32
我操作后输入https://www.enum.cn/ 就是这样子,刷新后就是第二张图。算了,以后再搞了。谢谢。
Reply
ELL says:
2010/01/31 at 00:27
我不知所云 ( ̄_ ̄|||)
Reply
ww says:
2010/01/31 at 04:55
hoho,,,,用mac可以不知所云-_-”
Reply
Felix Yan says:
2010/01/31 at 11:35
在天朝用Mac还是不能不知所云的,哈哈
Reply
ww says:
2010/01/31 at 05:02
在British用mac大可不知所云 ( ̄_ ̄|||)
Reply
kkddgcd says:
2010/01/31 at 00:17
麻烦你登录一下看看,用户名:lsq3...@tom.com密码:kkddgcd444
Reply
Felix Yan says:
2010/01/31 at 00:30
用户名不存在= =……
Reply
kkddgcd says:
2010/01/31 at 00:15
我重新注册了个相册,你看看能不能看到,谢谢。
http://wt.wodexiangce.cn/pages/photo/open.faces
Reply
kkddgcd says:
2010/01/30 at 23:49
加我好友行吗?
Reply
Felix Yan says:
2010/01/30 at 23:55
额,我基本不上Q的……囧……
Reply
ww says:
2010/01/31 at 04:33
Q根本就是木马.
Reply
kkddgcd says:
2010/01/30 at 23:45
我传图到QQ相册,麻烦你看下,谢谢
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
http://user.qzone.qq.com/365128918/photo/5c82b884-f570-424e-b49b-c3ade30b25e4/Mxkv8JfEB0wxiUqQf7ktLpuO9YcSNE8AAA!!/
Reply
Felix Yan says:
2010/01/30 at 23:47
晕一个,看不了非好友的QQ空间……
Reply
kkddgcd says:
2010/01/30 at 23:29
汗,怎么上图啊?谢谢
Reply
Felix Yan says:
2010/01/30 at 23:35
这里支持BBCode,您可以到mobypicture,img.ly之类的网站上传图片后获得外链地址,然后发上来:)
Reply
kkddgcd says:
2010/01/30 at 23:11
你好,显示的是
此程序无法显示网页
最可能的原因是:
未连接到 Internet。
该网站遇到了问题。
在地址中可能存在键入错误。
您可以尝试以下操作:
检查您的 Internet 连接。尝试访问其他网站以确保已连接到 Internet。
重新键入地址。
返回到上一页。
Reply
Felix Yan says:
2010/01/30 at 23:19
能上一下截图吗?要包括地址栏和状态栏的,谢谢:)
Reply
kkddgcd says:
2010/01/30 at 23:03
https://www.enum.cn/ 打不开是不是删除成功了?谢谢!
Reply
Felix Yan says:
2010/01/30 at 23:08
如果提示的是证书问题,应该就是成功了:)
Reply
Weixuhong says:
2010/01/30 at 21:55
如何删除CNNIC根证书 http://bit.ly/bJGUrK #GFW
This comment was originally posted on Twitter
Reply
A.A says:
2010/01/30 at 18:06
谢谢提醒,删掉了,不敢相信CNNIC。
因为从随便终止个人用户域名上就觉得CNNIC没有信用。
C.C. says:
2010/01/30 at 15:21
上图
禁止后IE说无法显示该网页,Chrome正常
添加www.enum.cn证书到不信任,信任里禁止后正常
晨之晖 says:
2010/01/31 at 22:03
我认为只要让它取消“标识软件制造者”就可以了,免除这些ACTIVE插件的静默安装就可以了,毕竟访问网站和邮箱对大部分用户是有必要的, CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt这两个的权限并不高
Reply
Felix Yan says:
2010/01/31 at 23:09
我这样做的初衷本来是为了免除针对google的https中间人攻击,所以对CNNIC这个不可靠部门可能存在自己签名自己虚假服务器的问题,而取消 cnnic的所有证书。即使权限低也一样。
Reply
晨之晖 says:
2010/01/31 at 21:06
这位朋友太过激了,只要把CNNIC ROOT证书停用了就可以了,否则很多应用不能使用的,如163邮箱SSL登陆
Reply
Felix Yan says:
2010/01/31 at 21:58
不这样做的话,是治标不治本。你想你能访问CNNIC签名的163邮箱,自然也能不经警告地访问任何的CNNIC签名的网站,这样停用证书的目的就完全没 有达到……
Reply
晨之晖 says:
2010/01/31 at 22:40
那个SSL和Entrust早就存在多年了,我认为网站和邮箱的验证很正常,关键是ActiveX 控件等软件,ROOT证书权限太高了所以一定要禁用
Reply
zly001 says:
2010/01/31 at 17:00
研究了好一会,还是看不明白,我是电脑盲,请问博主,这个CNNIC赖在我电脑里,要不要紧的?它有什么安全隐患没有?如果有的话,那我去请别人按照您的 文章替我清除掉它,但是如果它没什么安全隐患,我就不搞了
Reply
Felix Yan says:
2010/01/31 at 17:29
这个问题的详细情况,请参考月光博客:http://www.williamlong.info/archives/2058.html
《破解Google Gmail的https新思路》
Reply
cde says:
2010/01/31 at 16:14
请问,我已安装最新的 Firefox 3.6 ,但是我按你的教程操作,我只找到了你在第1步里说的两个证书,却没有发现 CNNIC SSL 证书,那我在第8步里只倒入两个证书行不行?需不需要把你提供下载的 CNNIC SSL 证书也倒进去?谢谢
Reply
Felix Yan says:
2010/01/31 at 16:16
最好下载导入,这样比较完整:)我第一步里有说明CNNIC SSL证书不是自带的……
Reply
treeler says:
2010/01/31 at 16:10
如何 单独信任163邮箱的证书?
Reply
Todd says:
2010/01/31 at 15:57
学习了, 比 Mac 上的操作复杂好多啊.
--
本邮件带有本人数字签名以防止假冒和欺诈。请不要轻信来自本人 email 地址但没有正确 OpenPGP 数字签名的任何邮件中的链接和附件,以防欺诈网页和木马病毒。为验证本邮件的数字签名真伪,请从 http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x260A66F94A8F0F26 获取我的公钥。
本邮件带有本人数字签名以防止假冒和欺诈。请不要轻信来自本人 email 地址但没有正确 OpenPGP 数字签名的任何邮件中的链接和附件,以防欺诈网页和木马病毒。为验证本邮件的数字签名真伪,请从 http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x260A66F94A8F0F26 获取我的公钥。
wanghx
Jan 31, 2010, 2:48:13 PM1/31/10
to lihlii-g, 网络安全, wla...@googlegroups.com
Entrust.net 是不用禁止的。CNNIC 有一个二级 CA 证书 CNNIC SSL,是 Entrust.net 颁发的,于是有些人为了简单建议把 Entrust.net 也禁止,其实是不必要的。
问题是,CNNIC SSL 这种二级 CA 证书未必保存,而且可以改变,如果不遇到就很难预先禁止,因此有人建议将 Entrust.net 干脆禁止掉,也是有合理性的。最多就是遇到某个网站采用的证书是 Entrust.net 办法的而得到警告的时候,检查证书后认为是可信的,单独允许该网站的证书即可。
Entrust.net 既然能办法 CA 证书给 CNNIC,那么它这种不谨慎的 Root CA 确实也不可轻信。
禁止 CNNIC 名称的所有证书,以及 Shanghai 一个 SHECA 也要删除。还有些软件的安装,会加入自己的根证书(root certificate),比如中共国内一些网上业务软件,淘宝(alipay, alibaba),
iTruschina 等等。这些根证书服务商,完全可能和黑帮合作,为间谍软件签署虚假证书。
Menphis1979 还有一个 SHECA
貌似也要小心 ... RT @wenhaoy:
防火防盗防CNNIC,微软已经把CNNIC列为根证书发布者http://bit.ly/s2jVz #GFW #GoogleCN #fuckgfw8 minutes ago from Seesmic
以公民个人身份签署国际人权宪章 http://j.mp/udhr-ss 如无法打开签名网页可发空信给 udhr19...@gmail.com 收到自动回信的签名表格,填写后寄回给 udhr...@gmail.com 即可。请广为传播。
2010/1/31 J
-- entrust.net和cnnic什么关系?
我在entrust.net下面有6个entrust.net的证书,5个是系统带的。查了certmgr.msc,确实有5个entrust.net的证书,是否需要全部禁止。
另外entrust.net和entrust, Inc下面还有其他证书,是否也要禁用?
以公民个人身份签署国际人权宪章 http://j.mp/udhr-ss 如无法打开签名网页可发空信给 udhr19...@gmail.com 收到自动回信的签名表格,填写后寄回给 udhr...@gmail.com 即可。请广为传播。
wanghx
Jan 31, 2010, 2:50:40 PM1/31/10
to salon-...@googlegroups.com, lihlii-g, 网络安全
Chrome 确实是有安全漏洞,证书被取消后,打开网页没有任何明显的提示。
所以, Firefox 是目前对 HTTPS 网站的证书异常处理最好的。
2010/1/31 J
ie和firefox直接打不开,firefox可以添加例外
另外几个浏览器的表现和原文里面的不太一样。
safari,chrome和opera依然可以打开,证书提示不受信任,但是提示太不明显了……
wanghx
Jan 31, 2010, 3:07:17 PM1/31/10
to salon-...@googlegroups.com, lihlii-g, 网络安全
这些证书你不一定都有,根据各人所装软件,系统版本,会有差别。但都检查一下为好。
2010/1/31 J
我看原作者贴图的效果,跟我不太一样。
entrust.net颁发ssl证书,可能是出于妥协,而不是不谨慎
alipay(支付宝)和招商银行确实有自己的证书,证书存在收信任的发布者中。
SHECA这个似乎在哪里见过,一会查一下
wanghx
Feb 1, 2010, 2:34:12 AM2/1/10
to salon-...@googlegroups.com, lihlii-g
我一直都有这个问题。我觉得是 gmail 设计得不好,加密网页内不应该带有不加密的模块内容,否则用户无法判别究竟哪些部分加密了,哪些部分没有加密。这是破坏安全性的设计习惯。
我怀疑是那些边栏广告,题头的 sponsored links 是不加密的链接导致的。可以查页面源代码看看。
2010/2/1 盟
沒有,沒開郵件,止是開了信箱就有了。而且沒有裝什麼小工具,止是有個內嵌的Gtalk,以前也沒這樣啊。Juntao J 於 2010年2月1日下午1:09 寫道:应该不是skin的问题,os的可能比较大。
有一段时间经常遇到「本頁包括其他不安全的資源」那个问题,最近少见。
可能是邮件内嵌了其他网页的资源?2010/2/1 盟
瀏覽器皮膚或os的原因吧。各位最近有Gmail沒有開什麼東西就出現「本頁包括其他不安全的資源」麼?想了半天也不知道問題在哪。
wanghx
Feb 1, 2010, 2:36:30 AM2/1/10
to salon-...@googlegroups.com, lihlii-g
这挺危险,我还没遇到,只是被网狗多次尝试重置密码,但是没有被窃取过。不知道是否有什么其他秘密的方式窃取邮箱密码或内容而让人无法发觉。
你遇到这种情况,要仔细确认网页 URL 是否真的是 google 的,仔细查对证书是否正确,证书链是否正常,根证书是否可靠。
2010/2/1 86
我的Gmail周六被Google提示安全风险什么的,被强行要求改了密码 @_@
Igood
Feb 2, 2010, 8:47:56 PM2/2/10
to 童言无忌
人家要是"网狗"你Wanghx-----"痢痢"就是狗屎, 可能连狗屎还不如!
好好想想自己错在哪了.整天嘴里左一个网狗右一个网狗的,好像你就是狗爹狗娘养出来的一样.
好好想想自己错在哪了.整天嘴里左一个网狗右一个网狗的,好像你就是狗爹狗娘养出来的一样.
> > 我的Gmail周六被Google提示安全风险什么的,被强行要求改了密码 @_@- 隐藏被引用文字 -
>
> - 显示引用的文字 -
wanghx
Feb 3, 2010, 11:59:37 AM2/3/10
to Salon Friends, lihlii-g
Firefox 有个扩展 Firebug 可以编辑调试诊断网页内容,其中包括网页所打开的网络连接详细内容。
除了功能强大的 Firebug,可能还有其他的工具。
2010/2/1 盟
我即便是有邊欄廣告的時候,前一段時間也是沒有的。最近一開郵箱就感嘆號,害得我挺敏感的。原代碼又看不懂。= =
Reply all
Reply to author
Forward
0 new messages