210007508803

来源http://hi.baidu.com/litiejun/blog/item/8c6d38d8409a3f3e32fa1c73.html



“根证书”（Root
Certification）是互联网上保证信息传播和交易安全的重要信任机制，证书加密可以防止客户端和服务器之间的通信在数据传输的链路上免被窃听或
篡改。大型电子商务企业和银行都要向根证书发放机构申请这种电子证书，再应用到自己的网站上。



现在，发现微软干了一件很不厚道的事情——将CNNIC列入安全的根证书发布者。微软不会不清楚CNNIC有多恶：早几年前那个CNNIC通用网址人人喊
打。前不久，又单方面下手打击.CN注册用户。这样一个完全不讲商业道德官商不分的机构，怎么能成为安全的根证书发布者。CNNIC根证书不仅仅在IE中
被列入安全列表，在Firefox，Google
Chrome、Safari、Opera的证书列表中都会发现这个历史上的流氓软件开发者已经成了安全的受信任的根证书颁发机构。如果以前安装CNNIC
的软件系统还会弹出安全警告，而现在，这个警告已经不会再有了，因为系统已经默认信任。



不管微软、firefox、苹果、Google多信任CNNIC，我是不敢信任的，现在要做的，是把这个已经被信任的根证书从电脑中彻底删除。



操作方法：

1.点击IE工具菜单-->选项-->内容-->证书，在受信任的根证书颁发机构中找到CNNIC Root，将证书导出到桌面备用。





在上一步，双击CNNIC ROOT查看这个证书的属性有点儿意思，一看证书的有效期是到2027年4月16日，要近20年才失效，可我一天也不想让这个东西在我的电脑里停留。







2.运行certmgr.msc，在受信任的证书颁发机构中找到cnnic root双击，查看详细信息，编辑属性，禁用此证书的所有目的。





3.还可以来点儿狠的，双击第1步我们导出的证书文件，在安装证书时，把CNNIC的这个东西，安装到不受信任的列表中。







最重要的步骤是运行certmgr.msc，在证书管理器中找到CNNIC ROOT，别忘了将该证书的所有目的禁用。



在Firefox中，单击工具菜单-->选项-->高级-->查看证书，在证书机构中找到CNNIC，将证书先导出，再运行证书管理器，将证书分别导入不受信任的列表，单纯删除不能解决证书的重复安装问题。



验证是否成功完成设置，只需要访问https://www.enum.cn/，如果能正常浏览，而没有如下的安全警告，说明你的电脑已经默认安装了CNNIC的根证书。

210007508803

在Twitter上惊闻“微软把CNNIC列为根证书发布者”，赶紧Google一把，发现Mozilla同样也已经在3.6版的Firefox里这么做了。

出于对CNNIC深深的不信任，我决定将CNNIC ROOT从“受信任”的列表里赶出去。

因为IE/Chrome采用微软的CA目录，而微软现在暂未将CNNIC加入，因此需要先从Firefox中导出这几个证书，再添加到Windows的“不信任”列表(更新：现在可以直接从Windows里导入再导入了，操作类似)，以防范于未然。下面便是具体的步骤了（包括IE/Chrome/Firefox）：

1、如果没有安装Firefox浏览器的3.6最新版，或者在下面的操作中没有找到相应的证书，可以从这里下载这三个证书，然后跳到第5步（其中CNNIC SSL非自带证书！）：CNNICROOT.crt CNNICSSL.crt Entrust.netSecureServerCertificationAuthority.crt

2、打开Firefox浏览器，工具(Tools)->选项(Options)->高级(Advanced)->加密(Encryption)->查看证书(View Certificates)

3、在证书机构(Authorites)标签页中找到”CNNIC“组的”CNNIC ROOT“项，按导出(Export)（备份到本地），然后编辑(Edit)，去除里面的三个勾选，然后单击确定(OK)。（RT JimmyXu:在Firefox里对自带根证书执行“删除”操作就相当于是禁用其所有目的，并不会将其删除。）

4、在”Entrust.net“组中找到”Entrust.net Secure Server Certification Authority“(序列号37:4A2:43的)和”CNNIC SSL“证书，同样导出并去除勾选。（注：Entrust.net这个也是验证CNNIC所用的证书）



5、打开开始菜单->运行（或者直接按Win-R）

6、输入certmgr.msc，打开Windows的证书管理器。

7、展开”不受信任的证书(Untrusted Certificates)“，右键单击其下”证书(Certificates)“项，在”所有任务(All Tasks)“子菜单下单击”导入(Import)…“

8、分别找到刚才保存的三个证书，依次导入(Next->Browse…(找到相应文件)->Next->Next->Finish)。

9、将导入的证书复制(Ctrl-C)，然后粘贴(Ctrl-V)到受信任根证书颁发机构(Trusted Root Certification Authorities)中，然后在这个窗口中分别右键单击粘贴过来的3个证书，选择“属性(Properties)”，然后单击“停用这个证书的所有目的(Disable all purposes for this certificate)”。

（感谢 Jimmy Xu 供图）

另附上网友补充的Safari/Opera设置方法：

Mac下Safari操作步骤（感谢推友 @xzzxyd 提供！）：

应用程序(Applications)/实用工具(Utilities)/ 找到里面的 钥匙串访问(Keychain Access.app)，或者在Spotlight中搜索”Keychain Access“或”钥匙串访问“，打开后搜索CNNIC，在”信任”中标记为”永不信任“～。

VPN代理服务器：都没人提Opera的吗?Ctrl+F12 -安全性-管理证书-证书办法机构-CNNIC ROOT 双击，把 允许连接到使用该证书链接的网站 去掉。

想检验操作是否成功？在浏览器里访问 https://www.enum.cn/ ，如果提示证书被拒绝，就证明操作成功了！

——————1/29 6:30 PM更新——————

经验证，CNNIC SSL证书非Firefox 3.6自带，没有找到属正常情况；另外，上述步骤3/4有变化，已删除证书 CNNIC SSL 发现无效的朋友，可以将 CNNIC SSL 证书按照上述3/4步的步骤重新操作一次，而非删除，即可。

——————1/27 7:30 PM更新——————

不需要关闭自动更新，上述步骤多了第9步，请注意！

——————1/27 6:15 PM更新！！——————

0、在默认情况下，微软会自动连接到Windows Update服务器更新CA列表，这样会导致以下操作对IE/chrome失效，具体解决方法：

0a:
对于Windows XP用户：控制面板(Control Panel)->添加/删除程序(Add/Remove
Programs)->添加/删除windows组件(Add/Remove
Windows Components)->取消勾选“更新根目录证书(Update Root Certificates)”

（感谢推友@tOmMyanG供图！）

0b:
对于Windows Vista/Windows 7用户：组策略(运行->gpedit.msc)->计算机配置(Computer
Configuration)->管理模板(Administrative
Templates)->系统(System)->Internet 通信管理(Internet Communication
Management)->Internet 通信设置(Internet Communication
settings)，启用(Enable)“关闭自动根证书更新(Turn off Automatic Root Certificates
Update)”

十分感谢推友 @Ratoo 和 @jimmy_xu_wrk 在这个问题上对我的帮助：）

（另：十分感谢使用中文版系统的朋友告诉我相应选项在中文版中的名字，谢谢！）