[教學] CNNIC CA：最最最嚴重安全警告！

[ 原文: http://autoproxy.org/zh-CN/node/66 ]

背景知識

網上傳輸的任何信息都有可能被惡意截獲。儘管如此，我們仍然在網上保存著很多重要的資料，比如私人郵件、銀行交易。這是因為，有一個叫著 SSL/TLS/HTTPS 的東西在保障我們的信息安全，它將我們和網站服務器的通信加密起來。

如果網站覺得它的用戶資料很敏感，打算使用 SSL/TLS/HTTPS 加密，必須先向有 CA (Certificate Authority) 權限的公司/組織申請一個證書。有 CA 權限的公司/組織都是經過全球審核，值得信賴的。

發生了什麼事

最近，CNNIC——對，就是那個臭名昭著的利用系統漏洞發佈流氓軟件的、就是那個使勁忽悠 CN 域名又突然停止域名解析的 CNNIC (中國互聯網絡信息中心)，它——偷偷地獲得了 CA 權限！在所有中文用戶被隱瞞的情況下！

意味著什麼

意味著 CNNIC 可以隨意造一個假的證書給任何網站，替換網站真正的證書，從而盜取我們的任何資料！

這就是傳說中的 SSL MITM 攻擊。以前這個攻擊不重要是因為攻擊的證書是假的，瀏覽器會告訴我們真相；現在，因為 CNNIC 有了 CA 權限，瀏覽器對它的證書完全信任，不會給我們任何警告，即使是造假的證書！

你信任 CNNIC (中國互聯網絡信息中心) 嗎？你相信它有了權限，會安守本分，不會偷偷地干壞事嗎？
我對此有3個疑問：

1. 某 party 對 GMail 興趣濃厚，GFW 苦練 SSL 內功多年，無大進展。如今有了 CA，若 GFW 令下，CNNIC 敢不從否？
2. CNNIC 當年利用所謂官方頭銜，制流氓軟件禍害網民。如今有了 CA，如何相信它不會故伎重演？
3. 為了得到指定網站的合法證書，其它流氓公司拋出錢權交易，面對誘惑，CNNIC 是否有足夠的職業操守？

影響範圍

基本上所有瀏覽器的所有用戶均受影響！

Firefox 解決方法, 請看原文 : http://autoproxy.org/zh-CN/node/66