交流评论、关注点赞

  • Facebook Icon脸书专页
  • telegram Icon翻墙交流电报群
  • telegram Icon电报频道
  • RSS订阅禁闻RSS/FEED订阅

翻墙问答: CNNIC证书的可信性存有风险

2015年03月27日 21:16 PDF版 分享转发

问: 之前都介绍过CNNIC发出的数码证书,被用作协助黑客攻击之用。现时有不少都重新审视CNNIC发出的数码证书的可信性,现时不同浏览器在对待CNNIC数码证书上,有什么分别?

李建军: 由于CNNIC发出的其中一张,供一间埃及为基地的公司所用的数码证书,被滥用作攻击谷歌之用。因此,开放源码的Firefox和Chrome立即采取行动,不再信任CNNIC的相关证书。Firefox更在最新版推出新功能,一旦有机构的数码证书被视为有问题,就会立即透过中央资料库作出检查,并且不再信任怀疑有问题的证书。

至于微软的IE,以及苹果的Safari,就暂时未有特别跟进行动。如果你对CNNIC相关数码证书有疑虑的话,可以暂时改用最新版的Firefox或Chrome以策安全。

问: 之前都介绍过,CNNIC的证书是有问题,可能令你登入Gmail或Outlook.com时资讯被窃,那有什么方法,可以彻底解决这方面的问题?

Ad:美好不容错过,和家人朋友一起享受愉快时光,现在就订票

李建军: 真正彻底解决问题的方法,那是完全不信任CNNIC发出任何数码证书,那就不会有攻击个别网站的假证书可以偷取你资料的事件。特别CNNIC是一个官方机构,只要中国当局仍然滥用旗下机构作封锁资讯之用,就会继续有由CNNIC发出的有问题证书。

对于Windows下的IE、Chrome和Safari,以及Mac之下的Chrome和Safari,他们依赖作业系统对证书的管理,因此,要去你所用作业系统的证书管理员,设定不信任CNNIC的证书,由于不同作业系统有不同的设定方法,所以最好参考你使用作业系统的技术文件。

Firefox就有自己独立的证书管理机制,因此,不论你用什么作业系统都好,Firefox上都要另行证定不信任CNNIC证书,达致不会被CNNIC证书所攻击的目标。而这次,我们准备了视频,示范如何在Firefox上改变设定,令Firefox变得不信任所有CNNIC发出的证书,欢迎听众浏览本台的网站收看相关的示范。

问: 刚才提及改变数码证书设定的方法,都是用在之上,那智能手机、平板电脑,以及电视机顶盒,又可以怎么办?

李建军: 由于iOS以及Android设计的关系,你很难设定你的手机和平板电脑不信任CNNIC证书。现时,针对有可能受CNNIC有问题证书困扰的听众,应尽量使用电脑上的浏览器浏览,而在自己的手机,以及平板电脑,就浏览一些风险相对来得低的内容。

有部分Android手机,容许用户自行决定是否信任CNNIC证书,这次问答,亦会有视频,示范如何在Android手机设定不信任CNNIC证书,欢迎听众浏览本台的网站收看。但要注意的是,如果你的手机Android作业系统被中国厂商更动过,有可能因暗中传送你私隐资讯的需要,你根本不能不信任CNNIC证书,或就算你设定不信任CNNIC证书,手机仍然自行继续信任CNNIC证书,在海外购买的大海外品牌Android手机,在这方面的安全来比较有保证,至少仍然有机会将CNNIC证书剔除出信任名单之内。

问: 不信任CNNIC的证书有什么不好处?

李建军: 因为中国不少公司开始转用CNNIC的证书,一旦你完全不信任CNNIC的证书,可能令你未能登入这些网站。因此,你要保留至少一部电脑或手机,仍然信任CNNIC证书,用以登入这类网站。

对一些不涉及安装特殊插件的网站,可以考虑用上集介绍的微软Remote IE功能,先翻墙再用云端版IE来登入需要CNNIC证书的网站,那就不用令自己的电脑仍然信任CNNIC证书,又能够保持登入使用CNNIC数码证书的网站。

来源:RFA

搬瓦工翻墙 Just My Socks

推荐安卓翻墙APP:SpeedUp VPN

Android版SpeedUp VPN,基于ShadowsocksRb,与SSR和Shadowsocks协议兼容,内置免费SSR服务器。 如果您对内置SSR VPN服务器不满意,则可以自行添加或导入任何SSR和Shadowsocks服务器使用。

喜欢、支持,请转发分享↓Follow Us 责任编辑:赵凌云