Ubuntu中文论坛

就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。

发生了什么事

最近，CNNIC，就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而窥视我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们那个不能被信任；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

影响范围

基本上所有浏览器的所有用户均受影响！

万岁

不要高兴,Linux,Unix,FreeBSD,MacOS一样也中招的...

相关帖应该有两个了

要不要扔进小黑屋呢？？

[*]

澳洲警方推荐说最安全的上网方式是linux live cd

原来不太相信，现在信了。


最新版的ubuntu 原版desktop cd是比较安全的


至于东莞姓赖的那个母蜂，还是算了吧。

要是说以前没有中间人攻击，我还对证书比较相信

现在完了

ryoohki 写了：就在前一段时间发生的,和谷歌提出要退出中国市场也有点关系

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。

发生了什么事

最近，CNNIC，就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中 | 国 | 互 | 联 | 网 | 络 | 信 | 息 | 中 | 心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！(前段时间的DNS劫持事件 bai度 和 G歌 网页不能访问)

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而窥视我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们那个不能被信任；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

影响范围

基本上所有浏览器的所有用户均受影响！

偷窥就偷窥吧.

反正见到有CNNIC的证书,删除就OK了.

反正也是给国家政府看,个人信息要看就看吧.

ls不怕跨省

ie8有隐私模式

有解决办法啊。。。autoproxy的作者发了一篇文章。
有两个证书，CNNIC root和CNNIC ssl，在ff里选不信任就可以了。。。

大家可以到Firefox那里讨论，但必须就事论事，比如它在申请过程中采取欺骗、隐瞒的手段，或者申请成功后的某些行为违反了 Mozilla 的 CA 政策；比如它的属性和过往行为表明它不会忠于自己的职责，而(帮助)做出 MITM 这种 CA 共愤的事情）。
其次是 Entrust，它说它信任，导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重，因为它错误地信任了 CNNIC，大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信，因为此次事件我们不得不删除了 Entrust 的 CA，请求他们另选别家认证。如果反响强烈，势必给 Entrust 造成很大压力。

活在中国都不怕了,还有什么可怕的?