關於移除 CNNIC 憑證

31 views
Skip to first unread message

Jedi

unread,
Apr 7, 2010, 5:30:53 PM4/7/10
to Opera Nalakuvara 三太子
首先再貼一次原先的公告...

相關的前因後果什麼的,建議閱讀《CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC》(*1)以及《在 Linux 上移除
CNNIC 憑證》(*2)這兩篇文章。不過因為這兩篇文章對 Opera 著墨較少,所以我在這邊提出簡易版的說明:

1. 如果你曾經匯入過憑證,請先把他們逐一匯出(工具→功能設定→進階→安全性→管理憑證)
2. Windows 使用者下載這個 opcacrt6.dat(*3),Linux 使用者則請下載這個 opcacrt6.dat(*4)(我並
不知道為什麼他們會不一樣,我是實際用不同的系統去取得的)
3. 把你的 Opera 關掉
4. 把你抓到的 opcacrt6.dat 蓋掉原有的。
4-1. Windows 的使用者可以在 %APPDATA%\Opera\Opera安裝目錄名稱\ 找到原本的檔案
4-2. Linux 的使用者則可以在 ~/.opera/ 找到
4-3. OperaTor 套件的在 OperaTor\Opera\profile\
4-4. Opera@U3 套件的在 System\Apps\9D5EE660-
C981-11DE-8A39-0800200C9A66\Exec\profile\
4-5. Opera@USB 套件的在 OperaUSB\profile\
4-6. Opera PortableApps 套件的在 OperaNalakuvaraPortableApp\OperaNalakuvara
\profile\
4-7. 其他未使用多使用者模式的 Opera 則可以在 Opera 安裝路徑下的 profile\ 資料夾內找到
5. 執行 Opera,把先前匯出的憑證重新匯入(如果有的話)
6. 收工

如果你喜歡自己來,或者不是很相信我提供的檔案(況且我也還在測試中),那麼請按照下列的步驟來:

1. 工具→功能設定→進階→安全性→管理憑證→認證機構
2. 找找看有沒有一個 CNNIC ROOT,其序號應該要是 0x49330001;如果沒有的話,你可以匯入這個
CNNIC.ROOT.ca(*5)
3. 用滑鼠點選 CNNIC ROOT 再去按「檢視...」按鈕,或者直接用滑鼠雙擊。
4. *取消*「允許連線到這個認證機構所核可的網站」然後按「確定」
5. 找找看有沒有一個 Entrust Secure Server Certification Authority,其序號應該要是
0x374ad243;如果沒有的話,你可以匯入這個
Entrust.Secure.Server.Certification.Authority.ca(*6)
6. 用滑鼠點選 Entrust Secure Server Certification Authority 再去按「檢視...」按鈕,或者直
接用滑鼠雙擊。
7. *取消*「允許連線到這個認證機構所核可的網站」然後按「確定」
8. 「確定」,「確定」,收工。

下一版的三太子會試著把這件事放進安裝套件(但是不會放進補綴套件)。如果有人按照這篇公告的辦法使用,然後有遇到問題,也請盡量回報,感恩!

*1: http://felixcat.net/2010/01/throw-out-cnnic/
*2: http://people.debian.org.tw/~chihchun/2010/02/02/remove-cnnic-cert-on-linux/
*3: http://Jedi.org/p4/Opera/pub/Files/APPDATA/Opera/Opera/opcacrt6.dat
*4: http://Jedi.org/p4/Opera/pub/operadeb/home/.opera/opcacrt6.dat
*5: http://Jedi.org/p4/Opera/pub/untrust/CNNIC.ROOT.ca
*6: http://Jedi.org/p4/Opera/pub/untrust/Entrust.Secure.Server.Certification.Authority.ca

Jedi

unread,
Apr 7, 2010, 5:38:48 PM4/7/10
to Opera Nalakuvara 三太子
這邊我想後續追蹤一下,把序號為 0x374ad243 的 Entrust Secure Server Certification
Authority「禁用」會有一個已知的後遺症,
就是會無法從 Apple 網站上下載東西 (QuickTime、iTunes、Safari 等),因為 Apple 也用了同一個憑證來簽署。

所以自己動手做的步驟應該改成:

1. 工具→功能設定→進階→安全性→管理憑證→認證機構
2. 找找看有沒有一個 CNNIC ROOT,其序號應該要是 0x49330001;如果沒有的話,你可以匯入這個
CNNIC.ROOT.ca(*5)
3. 用滑鼠點選 CNNIC ROOT 再去按「檢視...」按鈕,或者直接用滑鼠雙擊。
4. *取消*「允許連線到這個認證機構所核可的網站」然後按「確定」
5. 找找看有沒有一個 Entrust Secure Server Certification Authority,其序號應該要是
0x374ad243;如果沒有的話,你可以匯入這個
Entrust.Secure.Server.Certification.Authority.ca(*6)
6. 用滑鼠點選 Entrust Secure Server Certification Authority 再去按「檢視...」按鈕,或者

接用滑鼠雙擊。

7. 核選「允許連線到這個認證機構所核可的網站」
8. 核選「在使用這個憑證之前警告我」然後按「確定」
9. 「確定」,「確定」,收工。

稍晚我也會把重新按照上述步驟做出來的檔案更新上去。

> *2:http://people.debian.org.tw/~chihchun/2010/02/02/remove-cnnic-cert-on...

> *6:http://Jedi.org/p4/Opera/pub/untrust/Entrust.Secure.Server.Certificat...

Reply all
Reply to author
Forward
0 new messages