如何刪除（停用）系統(tǒng)或?yàn)g覽器中的CNNIC 證書V 1.32一、為什么要?jiǎng)h除（停用）系統(tǒng)或?yàn)g覽器中的CNNIC 證書（CNNIC 根級(jí)證書的危害性） .........................

如何刪除（停用）系統(tǒng)或?yàn)g覽器中的CNNIC 證書

V 1.32

一、為什么要?jiǎng)h除（停用）系統(tǒng)或?yàn)g覽器中的CNNIC 證書（CNNIC 根級(jí)證書的危害性） ................................... 2

二、如何刪除Windows XP系統(tǒng)中的CNNIC 證書（適用于IE 、Chrome 等瀏覽器） . .............................................. 2

1、導(dǎo)入CNNIC 證書到證書管理器中的信任區(qū)域 .................................................................................................. 2

2、在證書管理器受信任的根證書頒發(fā)機(jī)構(gòu)欄目中停用CNNIC 證書 . .................................................................. 4

3、再次導(dǎo)入CNNIC 證書并到證書管理器中的不信任的證書區(qū)域 . ...................................................................... 7

4、特別說(shuō)明 . ................................................................................................................................................................ 8

三、如何停用Firefox 3.6中的CNNIC 證書 . .................................................................................................................... 9

1、導(dǎo)入證書 . ................................................................................................................................................................ 9

2、禁用證書 . .............................................................................................................................................................. 11

3、特別說(shuō)明(必讀) .................................................................................................................................................... 13

四、如何在Opera 瀏覽器中停用CNNIC 證書 . .............................................................................................................. 14

特別說(shuō)明..................................................................................................................................................................... 16

五、屏蔽Mac 的Safari 瀏覽器CNNIC 證書 . ................................................................................................................. 17

六、關(guān)于部份銀行網(wǎng)站使用CNNIC 簽名問題 .............................................................................................................. 17

七、關(guān)于停用CNNIC 證書的相關(guān)操作的重要說(shuō)明（必讀） ...................................................................................... 18

1、關(guān)于CNNIC 五個(gè)相關(guān)證書名稱的問題 ............................................................................................................ 18

2、關(guān)于系統(tǒng)與瀏覽器在線更新后CNNIC 證書停用狀態(tài)是否會(huì)改變的問題 . .................................................... 18

3、關(guān)于系統(tǒng)不同登錄用戶CNNIC 證書停用狀態(tài)的問題..................................................................................... 18

八、技術(shù)支持..................................................................................................................................................................... 18

1

一、為什么要?jiǎng)h除（停用）系統(tǒng)或?yàn)g覽器中的CNNIC 證書（CNNIC 根級(jí)證書的危害性）

中共控制的CNNIC 在中國(guó)網(wǎng)民中被稱為最大的流氓網(wǎng)絡(luò)信息管理與服務(wù)機(jī)構(gòu)。微軟與Firefox 等瀏覽器在根證書列表里已將CNNIC 列為“受信任的根證書發(fā)行機(jī)構(gòu)”。這樣，訪問由CNNIC 頒發(fā)證書的https 協(xié)議網(wǎng)站將不會(huì)被用戶覺察到有任何警告，而以前你的瀏覽器訪問這類網(wǎng)站會(huì)跳出嚴(yán)重警告。因?yàn)橹泄部刂屏藝?guó)內(nèi)域名服務(wù)，國(guó)內(nèi)某些被監(jiān)控的用戶訪問海外網(wǎng)站，比如海外郵箱時(shí)，可能被轉(zhuǎn)向到CNNIC 設(shè)置的代理服務(wù)器。這樣的代理服務(wù)器可以用自己偽造的海外郵箱安全證書終結(jié)用戶的https 安全鏈接而竊取個(gè)人信息，同時(shí)代替用戶連結(jié)海外郵箱。因現(xiàn)在CNNIC 偽造的安全證書是微軟與Firefox 等瀏覽器等信任的，所以用戶將毫無(wú)察覺，還以為自己是安全鏈接到海外郵箱的呢。國(guó)外用戶也可能因“中間人攻擊”而同樣受害。比如無(wú)線上網(wǎng)用戶可能誤用了附近的惡意無(wú)線熱點(diǎn)，或自己上網(wǎng)線路被轉(zhuǎn)接等。以前即使這些發(fā)生，只要一上https 網(wǎng)站瀏覽器就會(huì)嚴(yán)重警告說(shuō)安全證書是偽造的，現(xiàn)在就沒有這種警告了。這就使得https 協(xié)議的安全證書完全失去了安全訪問的意義，也就是說(shuō)以前中共做不到的攻擊現(xiàn)在可以成為現(xiàn)實(shí)了。鑒于此，為上網(wǎng)的安全考慮，建議國(guó)內(nèi)和國(guó)外用戶刪除（停用）CNNIC 證書。

二、如何刪除Windows XP系統(tǒng)中的CNNIC 證書（適用于IE 、Chrome 等瀏覽器）

此方法適用于采用微軟CA 目錄的瀏覽器，如：IE 、Chrome 、Safari 、Dragon 、Myie 等瀏覽器。

步驟：

1、 導(dǎo)入CNNIC 證書到證書管理器中的信任區(qū)域

（注：先加入到信任區(qū)，然后停用，防止系統(tǒng)更新時(shí)檢測(cè)到?jīng)]有此證書而直接添加且激活為證書啟用狀態(tài)，也為后面將其納入不信任證書做準(zhǔn)備）

將下載的證書文件解壓后，得到五個(gè)證書文件，即：

CNNIC Root.cer （序列號(hào)49 33 00 01）

CNNIC_SSL.cer （序列號(hào)49 33 00 15）

CNNIC_SSL_After_2010.03.01.cer （序列號(hào)42 87 a2 a0）

CNNIC_SSL_Before_2010.03.01.cer （序列號(hào)49 33 00 29）

Entrust.net Secure Server Certification Authority.cer （序列號(hào)37 4a d2 43）

分別雙擊這五個(gè)證書文件按提示安裝，在安裝過程中，一直選中默認(rèn)的設(shè)置，方法如下：

雙擊以上各文件→安裝證書→下一步→選擇“根據(jù)證書類型，自動(dòng)選擇證書存儲(chǔ)區(qū)” →下一步→完成→確定→確定。

安裝過程的部份圖示如下：

2

3

安裝后，CNNIC ROOT和Entrust.net Secure Server Certification Authority位于證書管理器（下面有說(shuō)明如何打開證書管理器）中的在受信任的根證書頒發(fā)機(jī)構(gòu)-----證書區(qū)中；而三個(gè)CNNIC SSL則在中級(jí)證書頒發(fā)機(jī)構(gòu)-----證書區(qū)中

如果在導(dǎo)入證書過程中系統(tǒng)出現(xiàn)警告提示，請(qǐng)選擇肯定的答復(fù)是，如下圖示：

2、在證書管理器受信任的根證書頒發(fā)機(jī)構(gòu)欄目中停用CNNIC 證書

鼠標(biāo)點(diǎn)擊電腦桌面菜單 開始→運(yùn)行→輸入certmgr.msc →確定，打開Windows 的證書管理器。

4

停用CNNIC ROOT和Entrust.netSecureServerCertificationAuthority 證書：

點(diǎn)擊左窗口的“受信任的根證書頒發(fā)機(jī)構(gòu)”前面的“＋”號(hào)，再點(diǎn)擊它的下一選項(xiàng)卡“證書”, 可以找到兩個(gè)CNNIC 證書的位置，即: CNNIC ROOT和Entrust.net Secure Server Certification Authority，分別在這兩項(xiàng)點(diǎn)擊鼠標(biāo)右鍵→屬性→停用這個(gè)證書的所有目的→應(yīng)用→確定；如果發(fā)生錯(cuò)誤，請(qǐng)選擇“請(qǐng)繼續(xù)運(yùn)行并忽略此管理單元以后發(fā)生的錯(cuò)誤”。停用此CNNIC 證書, 目地是防止在線更新。

5

停用三個(gè)CNNIC SSL證書：

同上方法，點(diǎn)擊左窗口的“中級(jí)證書頒發(fā)機(jī)構(gòu)”前面的“＋”號(hào)，再點(diǎn)擊它的下一選項(xiàng)卡“證書”, 找到右面窗口下的三項(xiàng)CNNIC SSL內(nèi)容，分別在這三項(xiàng)點(diǎn)擊鼠標(biāo)右鍵→屬性→停用這個(gè)證書的所有目的→

6

應(yīng)用→確定；如果發(fā)生錯(cuò)誤，請(qǐng)選擇“請(qǐng)繼續(xù)運(yùn)行并忽略此管理單元以后發(fā)生的錯(cuò)誤”。停用此三項(xiàng)CNNIC SSL 證書, 目地也是防止在線更新。

3、再次導(dǎo)入CNNIC 證書并到證書管理器中的不信任的證書區(qū)域

將五個(gè)CNNIC 證書文件再導(dǎo)入到不信任的證書___證書欄目里：

方法：打開左面的不信任的證書___證書

在右面的窗口里，點(diǎn)擊鼠標(biāo)右鍵→所有任務(wù)→導(dǎo)入→下一步→瀏覽→分別選取下載的五個(gè)證書文件→打開→下一步→選中“將所有的證書放入下列存儲(chǔ)區(qū)”→下一步→完成→確定。

這樣依次導(dǎo)入五個(gè)證書文件，如下圖示：

7

要注意的是，前面步驟是導(dǎo)入到信任的證書區(qū)，這次是導(dǎo)入到不信任的證書區(qū)，以下是過程圖示：

（其它步驟圖示略，按上面文字說(shuō)明自己完成）

4、特別說(shuō)明

①對(duì)于微軟的CA 目錄的證書修改，大家容易產(chǎn)生歧義?；蛟S要問到為什么要先導(dǎo)入到信任區(qū)域，其實(shí)這個(gè)過程是配合第二步停用此證書來(lái)使用的，因?yàn)槿绻湃螀^(qū)域中如果沒有CNNIC 證書，那么在網(wǎng)絡(luò)活動(dòng)中，在訪問加密站點(diǎn)時(shí)，系統(tǒng)或?yàn)g覽器有可能會(huì)自動(dòng)更新證書，使CNNIC 證書被自動(dòng)的加入到系統(tǒng)或?yàn)g覽器中，并激活。如果在信任區(qū)域中有此證書但是處于停用狀態(tài)，系統(tǒng)或?yàn)g覽器就不會(huì)自動(dòng)更新，

8

系統(tǒng)或?yàn)g覽器會(huì)知道你是不信任此證書的。

②此方法適用于采用微軟CA 目錄的瀏覽器，如：IE 、Chrome 、Safari 、Dragon 、Myie 等瀏覽器。

三、如何停用Firefox 3.6中的CNNIC 證書

1、導(dǎo)入證書

打開Firefox （或FirefoxPortable ），點(diǎn)擊工具→選項(xiàng)→高級(jí)→加密→查看證書（→證書機(jī)構(gòu)→導(dǎo)入（，如下圖示：

9

同樣操作依次選中下載的五個(gè)證書文件（每次選中一個(gè)）：

雙擊選擇一個(gè)證書即可導(dǎo)入（或點(diǎn)擊一個(gè)文件，然后點(diǎn)擊“打開” ）。此時(shí)會(huì)出現(xiàn)兩種情況：

● 如果被導(dǎo)入的證書文件在Firefox （或FirefoxPortable ）瀏覽器中已經(jīng)存在，那么會(huì)看到如下圖示：

這時(shí)點(diǎn)擊按鈕確定關(guān)閉該窗口，然后再點(diǎn)擊導(dǎo)入(M) 按鈕，繼續(xù)導(dǎo)入后面的證書；

● 如果被導(dǎo)入的證書在Firefox （或FirefoxPortable ）瀏覽器中不存在，就會(huì)看到如圖所示情況： 10