秋梦无痕

from: http://felixcat.net/2010/01/throw-out-cnnic/

SSL MITM 攻击，即任何一个拥有信任证书的机构(例如：CNNIC)，可以随意造一个假的证书给任何网站，替换网站真正的证书，从而在不知不觉间获取用户访问的全部信息。在一般情况下，这个攻击是不重要的，因为浏览器会给出安全警告，但是如果机构获得了CA认证(例如：CNNIC)，那么情况就完全不同了，浏览器对它的证书完全信任，不会给我们任何警告。

如下为防御步骤（包括 IE/Chrome/Firefox ）。

1 、如果没有安装 Firefox 浏览器的 3.6 最新版 ，或者在下面的操作中没有找到相应的证书，可以从这里下载这三个证书，然后跳到第 5 步： CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2 、打开 Firefox 浏览器，工具 (Tools)-> 选项 (Options)-> 高级 (Advanced)-> 加密 (Encryption)-> 查看证书 (View Certificates)

3 、在 证书机构 (Authorites) 标签页中找到 “CNNIC” 组的 “CNNIC ROOT” 项，按 导出 (Export) （备份到本地），然后 删除 (Delete) 。（ 在 Firefox 里对自带根证书执行“删除”操作就相当于是禁用其所有 目的 ，并不会将其删除。）

4 、在 “Entrust.net” 组中找到 “Entrust.net Secure Server Certification Authority” ( 序列号 37:4A:D2:43 的 ) 和 “CNNIC SSL” 证书，同样导出并删除。（注：这也是 CNNIC 使用的证书）

 5 、打开开始菜单 -> 运行（或者直接按 Win-R ）

6 、输入 certmgr.msc ，打开 Windows 的证书管理器。

7 、展开 “不受信任的证书 (Untrusted Certificates) ” ，右键单击其下 “证书 (Certificates)” 项，在 “所有任务 (All Tasks)” 子菜单下单击 “导入 (Import) … ”

8 、分别找到刚才保存的三个证书，依次导入 (Next->Browse … ( 找到相应文件 )->Next->Next->Finish) 。

9、将导入的证书复制(Ctrl-C)，然后粘贴(Ctrl-V)到受信任的证书颁发者(Trusted Root Certification Authorities)中，然后在这个窗口中分别右键单击粘贴过来的3个证书，选择“属性(Properties)”，然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

重启 Firefox，打开 https://tns-fsverify.cnnic.cn/ 和 https://www.enum.cn/ 网站，保证Firefox 对这两个网站都给出了安全警告，而非正常浏览。

Mac下Safari操作步骤：
应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app)，或者在Spotlight中搜索 “Keychain Access” 或 “钥匙串访问”，打开后搜索CNNIC，在“信任”中标记为“永不信任”～

Opera操作步骤:
Ctrl+F12 -> 安全性 -> 管理证书 -> 证书办法机构 -> CNNIC ROOT 双击，把 允许连接到使用该证书链接的网站 去掉。