域名ssl证书(3)

这里有一个误区，当SSL证书不受信任的时候，并不一定就是有SSL劫持发生，有种例外情况是：一些个人网站买不起合法的SSL证书，因此会自己制作一个SSL证书来加密传输的数据。如果你经常访问某个个人网站，而且你知道这个网站是干什么的，那么这种情况可以不用担心。但是如果你访问的是网银，支付，或者是hotmail.com，gmail.com等，这类公司性质的网站一定会申请合法的SSL证书（12306.cn除外），一旦SSL证书不受信任，应该果断的终止访问，这个时候网络中一定会存在异常行为，对于一些小区宽带的用户一定要注意这点。

所以作为个人用户，你一定要知道你访问的是什么网站，如果你只是一个没有多少计算机只是的普通网民，我相信你不会经常上那些自己制作SSL证书的个人网站（12306.cn除外），因此如果你没有办法判断网络是不是有异常，只要是证书有问题的，干脆就别再访问了。

小提示：对于12306.cn，一定要按照网站说的那样，“为保障您顺畅购票，请下载安装根证书”。

最后我们总结一下使用SSL证书要注意的问题：

2、对于网银，支付，重要邮箱等网站，一定要确保SSL证书是没有问题的，如果浏览器给出SSL证书错误的警告，一定要拒绝访问。一些小区宽带用户一定要注意这点。

3、由于现在个人申请SSL证书比较便宜，一定要注意挂着合法SSL证书的钓鱼网站（国外比较常见）。对于钓鱼网站，一定要看清域名，另外别相信什么中奖的消息，同时要安装带有钓鱼防护功能的安全软件。

--------------------------------------

发生了什么事

最近，CNNIC(中国互联网络信息中心)，偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击(中间人攻击)。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们；现在，因为 CNNIC 有了 CA 权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？

我对此有3个疑问：

1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。域名ssl证书如今有了 CA，若 GFW 令下，CNNIC 敢不从否？

2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？

3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

影响范围

基本上所有浏览器的所有用户均受影响！

测试

https://tns-fsverify.cnnic.cn/

https://.enum.cn

解决CNNIC CA方法（IE）：

工具–>Internet选项–>内容–>证书

先打开受信任的根证书发布机构

选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出

导出时，一切选择默认。

导出完毕后，开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入，把刚才导出的证书导入。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25384-3.html