gravatar

刪除 Mac OS X Key chain 的 CNNIC 根憑證 Root Certifications

依據刪除 IE 與 Firefox 的 CNNIC 根憑證這篇和在 Linux 上移除 CNNIC 憑證這篇
,提供 Mac OS X 底下刪除 Keychain 裡面的 CNNIC 根憑證。如圖。

Google Chrome 也因為是用系統 Keychain 裡面的憑證,所以 Chrome 就不用額外刪了。
至於 Firefox 3.6 就內建 CNNIC 根憑證,可以直接刪除。或是透過「編輯」把此憑證可以用來識別網站的選項取消。
此外,為何此事如此嚴重?其實不只瀏覽器,作業系統也是,MS 也內建把 CNNIC Root CA 加入新版的 OS Root CA。試想,如果今天瀏覽一個網站,使用者沒有逐一仔細檢視核發憑證的機構,就隨便確定進入網站輸入自己密碼,其實該網站可能是假的惡意網站,而 CA 正是由不是大家認可的 CNNIC Root CA 機構簽發。雖然你看到 mail.google.com 和憑證無誤,但是該網域並非真正 google 的 server farm。或是下載軟體,雖然看到 Microsoft 或是 Google 的憑證,但是事實上該憑證並非真正由原始簽發單位簽署,一般使用者也不會逐一檢視簽署者是誰。如此一來可能又不小心安裝了什麼後門或流氓軟體。
事實上當然偉大的中國政府不會這麼笨,例如 Google mail 有不少異議份子的帳號,就在內地透過 GFW 轉到假的 Google mail server 和自己簽發的 CA 去,透過 Man in the Middle 偷偷過濾和檢視私密資料。如此一來大家都會發現那堆 server 都是假的。但是透過偉大的 GFW,比如說特工可以懷疑某某 IP 來源是異議份子,僅對那子網域或 IP 進行轉向攻擊。某異議份子存取了自己 Google Mail,但其實透過 DNS 和 IP 轉向,轉到中國某內地 server 偽裝成 Google Mail,又有來自 CNNIC Root CA 簽發的簽證,無論在 Chrome、Firefox、IE 看來都像是 Google Mail,事實上他並沒有仔細檢視簽發者是 CNNIC 而不是 Thawte SGC (Google mail 真正核發簽署憑證的單位) 的 CA 簽署。照樣,即使 Google mail 已經因為前陣子中國駭客事件而全部預設 HTTP SSL 加密連線,依然可以照樣被滲透。
(當然以上都是假想和幻想,如有雷同,那就是對岸抄了我的劇本)