“根证书”(Root Certification)是互联网上保证信息传播和交易安全的重要信任机制,证书加密可以防止客户端和服务器之间的通信在数据传输的链路上免被窃听或 篡改。大型电子商务企业和银行都要向根证书发放机构申请这种电子证书,再应用到自己的网站上。
现在,发现微软干了一件很不厚道的事情——将CNNIC列入安全的根证书发布者。微软不会不清楚CNNIC有多恶:早几年前那个CNNIC通用网址人人喊打。前不久,又单方面下手打击.CN注册用户。这样一个完全不讲商业道德官商不分的机构,怎么能成为安全的根证书发布者。CNNIC根证书不仅仅在IE中被列入安全列表,在Firefox,Google Chrome、Safari、Opera的证书列表中都会发现这个历史上的流氓软件开发者已经成了安全的受信任的根证书颁发机构。如果以前安装CNNIC的软件系统还会弹出安全警告,而现在,这个警告已经不会再有了,因为系统已经默认信任。
不管微软、firefox、苹果、Google多信任CNNIC,我是不敢信任的,现在要做的,是把这个已经被信任的根证书从电脑中彻底删除。
操作方法:
1.点击IE工具菜单-->选项-->内容-->证书,在受信任的根证书颁发机构中找到CNNIC Root,将证书导出到桌面备用。
在上一步,双击CNNIC ROOT查看这个证书的属性有点儿意思,一看证书的有效期是到2027年4月16日,要近20年才失效,可我一天也不想让这个东西在我的电脑里停留。
2.运行certmgr.msc,在受信任的证书颁发机构中找到cnnic root双击,查看详细信息,编辑属性,禁用此证书的所有目的。
3.还可以来点儿狠的,双击第1步我们导出的证书文件,在安装证书时,把CNNIC的这个东西,安装到不受信任的列表中。
最重要的步骤是运行certmgr.msc,在证书管理器中找到CNNIC ROOT,别忘了将该证书的所有目的禁用。
在Firefox中,单击工具菜单-->选项-->高级-->查看证书,在证书机构中找到CNNIC,将证书先导出,再运行证书管理器,将证书分别导入不受信任的列表,单纯删除不能解决证书的重复安装问题。
验证是否成功完成设置,只需要访问https://www.enum.cn/,如果能正常浏览,而没有如下的安全警告,说明你的电脑已经默认安装了CNNIC的根证书。
