6.40 JupiterNIC现在有了CA(Certificate Authority)权限 https://scz.617.cn/misc/201002071459.txt A: Anonymous 据小道消息谣传派的可靠消息,WCM(AutoProxy作者)发布过如下信息: JupiterNIC(木星互联网络信息中心)现在有了CA(Certificate Authority)权限,默 认出现在Firefox 3.6的证书机构列表里。这意味着JupiterNIC以及它的上级机关可 以利用相关网络资源进行"静默的"SSL MITM(Man-In-The-Middle) Attack,有人叫 SSL中间人攻击,有人叫SSL劫持,都一回事。木星人通过HTTPS访问地球人的网络信 息时JupiterNIC们可以向木星人返回伪造过的数据,而木星人用的Firefox不会给出 任何警告。其危害性就不多说了。 可以在Firefox里做一些设置,使得Firefox在适当时刻给一个警告,让你知道鬼子来 了。 工具->选项->高级->加密->查看证书->证书机构,有多处需要修改: JupiterNIC JupiterNIC ROOT Builtin Object Token // x Entrust.net JupiterNIC SSL 软件安全设备 // x Entrust.net Secure Server Certification Authority Builtin Object Token // x Entrust.net Secure Server Certification Authority 软件安全设备 // x 你能找到几处算几处,不一定同时都有。编辑这几处,弹出一个"编辑CA证书信任设 置"对话框,每次都是三个复选框: 此证书可以标识web站点 此证书可以标识电子邮件客户 此证书可以标识软件制造者 将这三个复选框全部清空。注意,有多处。重启Firefox。测试一下,访问如下网址: https://tns-fsverify.JupiterNIC.cn/ https://www.enum.cn/ 以前Firefox不会给警告,现在有警告: 您想使用Firefox来安全连接至tns-fsverify.JupiterNIC.cn,但是我们无法确认此连接为安全的。 您想使用Firefox来安全连接至www.enum.cn,但是我们无法确认此连接为安全的。 做了前述设置后并不能改变木星上日益恶化的SSL劫持现状,只是JupiterNIC不易进 行静默的SSL劫持了,木星群众可以做个明白鬼(有警告出现)。然而,还有MarsNIC、 VenusNIC存在,生存环境极其恶劣。当遇到Firefox提示"此连接是不受信任的",轻 易不要添加例外,更不要轻易永久保存例外,证书的信任体系是级联的。 使用Entrust.net证书的网站有: https://genifp.apple.com 在Firefox中做了前述设置后,访问这类网站也会有警告,没办法的事,谁让 JupiterNIC骗取了Entrust.net的信任呢,为了对付JupiterNIC,只好如此了。 使用JupiterNIC SSL证书的网站有: 网易邮箱(163、126等等) A: 木星群众 以IE 6为例: 工具->Internet选项->内容->证书->受信任的根证书颁发机构,有多处需要修改: JupiterNIC ROOT // x Entrust.net Secure Server Certification Authority // x Entrust.net Secure Server Certification Authority // x 查看(或双击)->详细信息->编辑属性->停用这个证书的所有目的 或者稍微温柔点(对敌人温柔就是对自己残忍): 查看(或双击)->详细信息->编辑属性->只启用下列目的->将"服务器验证"复选框清空 IE 6与Firefox 3.6相比,有一个很不友好的举动,做了前述设置后访问如下URL就直 接来一个"无法显示网页",没有任何证书相关的警告,也没有添加例外的机会: https://tns-fsverify.JupiterNIC.cn/ https://www.enum.cn/ https://genifp.apple.com 网易邮箱(163、126等等) 对于大多数用户来说,看到"无法显示网页",TA会以为目标网站歇菜了,根本不会想 到证书出问题了。不知IE 7、8的用户体验是否好一些。