文章
Slash Boxes
评论

Mozilla争论CNNIC根证书的安全性

matrix 发表于 2010年2月02日 17时18分 星期二   Printer-friendly   Email story
来自证据是模糊的,反对是坚决的部门
Mozilla 软件
Mozilla开发者邮件列表和Bugzilla(12)上,有很多人参与了CNNIC根证书安全性的讨论。 争论的焦点是1)CNNIC的政府组织身份——CNNIC自称是中国科学院下属的中国互联网络信息中心,服务于科学和研究的机构,但很多人指出CNNIC的直接主管是工信部;2)CNNIC帮助展开中间人攻击是否有证据——Mozilla负责安全的开发者认为,在没有证据的情况下,从根证书中移除CNNIC不妥,反对支持移除者的鼓动性言论。支持移除者的主要证据是:CNNIC制作的上网辅助软件“中文上网软件”是公认的流氓软件。

相关文章

互联网: EFF的SSL观察 [+]
Lwn.net报道,电子前哨基金会(EFF)发布了新的项目:SSL observatory。他们花了几个月时间收集了SSL证书信息,汇集成一个PDF文件,并表示未来会通过BitTorrent发布完整的SSL证书数据集。在研究中,他们发现了许多有意思的细节: Mozilla有124个信任根证书(包括CNNIC的CA);微软在Windows 7中只列出了19个信任根证书;Windows或Firefox有1,482个可信CA证书;超过6000个的有效CA证书签名是“localhost”;澳门在XP上有自己的2048 bit CA证书,没有使用中国或葡萄牙的CA;有意思的次级CA——美国国土安全部,CNNIC,阿联酋电信Etisalat,双子座天文观测站,戴尔、福特和Google等企业....
IT: CNNIC根CA证书争论升级 28 条评论 [+]
Mozilla接受CNNIC根CA证书一事受到了越来越多媒体的关注。/.lwn.net都讨论了此事。 其中lwn.net的文章最为详尽:添加新CA(Certificate Authority)通常是一件十分平静的事情。浏览器审核小组根据他们的标准,增加通过测试的CA。然而在浏览器更新之后,Firefox用户(虽然很少有用户去看CA列表)发现了Mozilla增加了CNNIC的CA,一场抗议的风暴开始云集。对反对者来说,有无数证据证明CNNIC参与了流氓软件的开发,并且在其政府机构身份上说谎。但政府控制的机构并不意味着Mozilla应该拒绝一个CA。传播流氓软件与其CA身份也不搭搭界......对于让人担忧的假冒SSL证书问题,有人留言称是不可能的“用户的私有密钥一直是在用户自己手中的,CA中心是无法拿到其私钥的,因而不可能假冒”。
互联网: Firefox和微软已将CNNIC添加到根证书列表中 9 条评论 [+]
SummerWa 写道 "Microsoft和Firefox已经将CNNIC作为根证书颁发机构添加到证书列表中: Microsoft 的PDF
https://bugzilla.mozilla.org/show_bug.cgi?id=47676 6
https://bugzilla.mozilla.org/show_bug.cgi?id=52500 8 出于对某机构的不放心,害怕被"别有用心"的朋友用于劫持SSL会话,许多朋友建议将CNNIC根证书添加到不受信任列表中。 有网友给出了方法。"
This discussion has been archived. No new comments can be posted.
Mozilla争论CNNIC根证书的安全性 | 登录/创建一个账号 | 顶部 | 25 条评论 | 搜索讨论
显示选项 门槛:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。

  • 支持移处

    (得分:1)
    proguru (10072) 发表于 2010年2月02日 19时01分 星期二 (#59675)
    ( http://blog.pcware.cn/ )
    举双手!
    --
    公平正义比太阳还要有光辉,演技比影帝有过之而无不及.

  • 在 Mozilla 那里表明一种姿态就可以了

    (得分:1)
    larryli (9386) 发表于 2010年2月02日 19时43分 星期二 (#59680)
    ( http://larryli.yo2.cn/ )
    如果 CNNIC 真的伪造证书,证据就是铁的,某些部门在回答记者提问时就不能再妄顾左右而言他。
    不过,大家尽量号召更多人抵制 CNNIC 颁发的证书,造成一个既成事实。这样,任何组织和个人在选择时是否使用 CNNIC 证书时就会有所考虑。

  • 洗洗睡吧

    (得分:1)
    AutoXBC (2250) 发表于 2010年2月02日 19时45分 星期二 (#59682)
    这根本不是技术问题,也不是安全问题,这是政治问题,没有讨论的余地,除非谋智不想活了。
    • Re:洗洗睡吧 by twisters (得分:1) 2010年2月02日 21时23分 星期二
      • Re:洗洗睡吧 by AutoXBC (得分:1) 2010年2月02日 21时59分 星期二
    • Re:洗洗睡吧 by 匿名懦夫 (得分:1) 2010年2月05日 09时52分 星期五
    • 还有 1 reply 在你当前的门槛设置之下。

  • 闹大了有什么好处

    (得分:1)
    sender (3253) 发表于 2010年2月03日 10时35分 星期三 (#59747)
    ( http://www.wavecn.com/ )
    不信任的就自己动手不就行了,事情闹大了以后连firefox都没得用。

  • 直接在firefox里头删除cnnic的根证书

    (得分:1)
    nox (11615) 发表于 2010年2月03日 10时42分 星期三 (#59749)
    这个应该很简单吧。我已经删除了。

  • 不要以讹传讹

    (得分:2, 识见广博)
    naozijianghu (14712) 发表于 2010年2月05日 09时56分 星期五 (#60014)
    作为一个有几年从业人士,说几句明辨是非的话,不要以讹传讹,最后坏了数字证书的发展。根证书是不能监控网民行为。证书是一种符合国际通行技术标准的加密传输技术服务,就是把你要传输的信息加上密码,防止明文传输被人截获、信息泄露或中途被篡改,保证信息的完整性、安全性。 根证书是证书信任链的基础,打个通俗的比喻,根证书相当于发行货币的央行,证书相当于货币,可以看出,与用户使用发生直接关系的是证书(货币),而非根证书(央行)。因此,从技术角度来看根证书是无法做到跟踪或监控网民行为的,就像央行不可能监控到你手里的货币是怎么购买商品一样,因此根证书与网络上出现的监控程序、恶意代码有本质区别。

  • 不懂证书啊

    (得分:1)
    caimianbao (14714) 发表于 2010年2月05日 09时59分 星期五 (#60016)
    一看就知道楼主不懂证书啊。证书是不能被仿冒,不能张冠李戴。证书由CA(根证书持有者)来发放,且其发放的证书必须保证证书满足以下三个方面: 证书获得方的身份必须是经过严格的审核,如其公司或个人的真实身份,即保证证书所属实体的真实性; 证书获得方的域名(如是服务器证书)必须是真实的,必须与证书所属实体信息一致; 证书申请时的经办人信息必须是真实的,且有申请单位或相关的委托证明材料。

  • 证书发放不能张冠李戴

    (得分:1)
    caimianbao (14714) 发表于 2010年2月05日 10时00分 星期五 (#60018)
    通俗地讲,证书发放不能张冠李戴,例如不能给amail.com颁发一张gmail.com的证书。如果张冠李戴会怎么样?它逃不过审计规则。

  • 大家不必紧张

    (得分:1)
    yeniuyuan (14715) 发表于 2010年2月05日 10时04分 星期五 (#60019)
    大家不必紧张的,证书不能强制安装。其安装及获得只有申请方的经办人及网站管理者才可以做到。

  • 还好~~~~~

    (得分:1)
    baizhouhuanghun (14716) 发表于 2010年2月05日 10时10分 星期五 (#60021)
    根据上面哥们的说明来看,任何一个网站的证书只有网站的管理者自己才可以修改,其他人是无法做到修改、篡改和假冒的。

  • 张冠李戴,后果很严重

    (得分:1)
    diaodaixiong (14718) 发表于 2010年2月05日 10时19分 星期五 (#60022)
    证书作假,张冠李戴,后果很严重。如果CA给amail.com颁发了一张gmail.com的证书,就通不过审计规则,基本上是自杀行为,相信任何一个有理智机构和个人都不会动这个念头。 事实很多证书的使用者可能对根证书持有机构并不了解,很难谈得上有多信任,他们敢于采用,更大程度上是信任CA的整套审计规则的严谨有效性。

  • 上面那些留言的临时注册账号

    (得分:1)
    larryli (9386) 发表于 2010年2月05日 18时34分 星期五 (#60111)
    ( http://larryli.yo2.cn/ )
    难道就没看见自己的id会显示出来的么?

  • 这里五毛泛滥说明了什么?

    (得分:1)
    stevenliou (7856) 发表于 2010年2月05日 23时59分 星期五 (#60158)
    此地无银三百两——还是赶紧删了吧!