如何删除系统或浏览器中的CNNIC证书图文教程
如何删除(停用)系统或浏览器中的CNNIC 证书V 1.32一、为什么要删除(停用)系统或浏览器中的CNNIC 证书(CNNIC 根级证书的危害性) .........................
如何删除(停用)系统或浏览器中的CNNIC 证书
V 1.32
一、为什么要删除(停用)系统或浏览器中的CNNIC 证书(CNNIC 根级证书的危害性) ................................... 2
二、如何删除Windows XP系统中的CNNIC 证书(适用于IE 、Chrome 等浏览器) . .............................................. 2
1、导入CNNIC 证书到证书管理器中的信任区域 .................................................................................................. 2
2、在证书管理器受信任的根证书颁发机构栏目中停用CNNIC 证书 . .................................................................. 4
3、再次导入CNNIC 证书并到证书管理器中的不信任的证书区域 . ...................................................................... 7
4、特别说明 . ................................................................................................................................................................ 8
三、如何停用Firefox 3.6中的CNNIC 证书 . .................................................................................................................... 9
1、导入证书 . ................................................................................................................................................................ 9
2、禁用证书 . .............................................................................................................................................................. 11
3、特别说明(必读) .................................................................................................................................................... 13
四、如何在Opera 浏览器中停用CNNIC 证书 . .............................................................................................................. 14
特别说明..................................................................................................................................................................... 16
五、屏蔽Mac 的Safari 浏览器CNNIC 证书 . ................................................................................................................. 17
六、关于部份银行网站使用CNNIC 签名问题 .............................................................................................................. 17
七、关于停用CNNIC 证书的相关操作的重要说明(必读) ...................................................................................... 18
1、关于CNNIC 五个相关证书名称的问题 ............................................................................................................ 18
2、关于系统与浏览器在线更新后CNNIC 证书停用状态是否会改变的问题 . .................................................... 18
3、关于系统不同登录用户CNNIC 证书停用状态的问题..................................................................................... 18
八、技术支持..................................................................................................................................................................... 18
1
,一、为什么要删除(停用)系统或浏览器中的CNNIC 证书(CNNIC 根级证书的危害性)
中共控制的CNNIC 在中国网民中被称为最大的流氓网络信息管理与服务机构。微软与Firefox 等浏览器在根证书列表里已将CNNIC 列为“受信任的根证书发行机构”。这样,访问由CNNIC 颁发证书的https 协议网站将不会被用户觉察到有任何警告,而以前你的浏览器访问这类网站会跳出严重警告。因为中共控制了国内域名服务,国内某些被监控的用户访问海外网站,比如海外邮箱时,可能被转向到CNNIC 设置的代理服务器。这样的代理服务器可以用自己伪造的海外邮箱安全证书终结用户的https 安全链接而窃取个人信息,同时代替用户连结海外邮箱。因现在CNNIC 伪造的安全证书是微软与Firefox 等浏览器等信任的,所以用户将毫无察觉,还以为自己是安全链接到海外邮箱的呢。国外用户也可能因“中间人攻击”而同样受害。比如无线上网用户可能误用了附近的恶意无线热点,或自己上网线路被转接等。以前即使这些发生,只要一上https 网站浏览器就会严重警告说安全证书是伪造的,现在就没有这种警告了。这就使得https 协议的安全证书完全失去了安全访问的意义,也就是说以前中共做不到的攻击现在可以成为现实了。鉴于此,为上网的安全考虑,建议国内和国外用户删除(停用)CNNIC 证书。
二、如何删除Windows XP系统中的CNNIC 证书(适用于IE 、Chrome 等浏览器)
此方法适用于采用微软CA 目录的浏览器,如:IE 、Chrome 、Safari 、Dragon 、Myie 等浏览器。
步骤:
1、 导入CNNIC 证书到证书管理器中的信任区域
(注:先加入到信任区,然后停用,防止系统更新时检测到没有此证书而直接添加且激活为证书启用状态,也为后面将其纳入不信任证书做准备)
将下载的证书文件解压后,得到五个证书文件,即:
CNNIC Root.cer (序列号49 33 00 01)
CNNIC_SSL.cer (序列号49 33 00 15)
CNNIC_SSL_After_2010.03.01.cer (序列号42 87 a2 a0)
CNNIC_SSL_Before_2010.03.01.cer (序列号49 33 00 29)
Entrust.net Secure Server Certification Authority.cer (序列号37 4a d2 43)
分别双击这五个证书文件按提示安装,在安装过程中,一直选中默认的设置,方法如下:
双击以上各文件→安装证书→下一步→选择“根据证书类型,自动选择证书存储区” →下一步→完成→确定→确定。
安装过程的部份图示如下:
2
,
3
,安装后,CNNIC ROOT和Entrust.net Secure Server Certification Authority位于证书管理器(下面有说明如何打开证书管理器)中的在受信任的根证书颁发机构-----证书区中;而三个CNNIC SSL则在中级证书颁发机构-----证书区中
如果在导入证书过程中系统出现警告提示,请选择肯定的答复是,如下图示:
2、在证书管理器受信任的根证书颁发机构栏目中停用CNNIC 证书
鼠标点击电脑桌面菜单 开始→运行→输入certmgr.msc →确定,打开Windows 的证书管理器。
4
,停用CNNIC ROOT和Entrust.netSecureServerCertificationAuthority 证书:
点击左窗口的“受信任的根证书颁发机构”前面的“+”号,再点击它的下一选项卡“证书”, 可以找到两个CNNIC 证书的位置,即: CNNIC ROOT和Entrust.net Secure Server Certification Authority,分别在这两项点击鼠标右键→属性→停用这个证书的所有目的→应用→确定;如果发生错误,请选择“请继续运行并忽略此管理单元以后发生的错误”。停用此CNNIC 证书, 目地是防止在线更新。
5
,停用三个CNNIC SSL证书:
同上方法,点击左窗口的“中级证书颁发机构”前面的“+”号,再点击它的下一选项卡“证书”, 找到右面窗口下的三项CNNIC SSL内容,分别在这三项点击鼠标右键→属性→停用这个证书的所有目的→
6
应用→确定;如果发生错误,请选择“请继续运行并忽略此管理单元以后发生的错误”。停用此三项CNNIC SSL 证书, 目地也是防止在线更新。
3、再次导入CNNIC 证书并到证书管理器中的不信任的证书区域
将五个CNNIC 证书文件再导入到不信任的证书___证书栏目里:
方法:打开左面的不信任的证书___证书
在右面的窗口里,点击鼠标右键→所有任务→导入→下一步→浏览→分别选取下载的五个证书文件→打开→下一步→选中“将所有的证书放入下列存储区”→下一步→完成→确定。
这样依次导入五个证书文件,如下图示:
7
,要注意的是,前面步骤是导入到信任的证书区,这次是导入到不信任的证书区,以下是过程图示:
(其它步骤图示略,按上面文字说明自己完成)
4、特别说明
①对于微软的CA 目录的证书修改,大家容易产生歧义。或许要问到为什么要先导入到信任区域,其实这个过程是配合第二步停用此证书来使用的,因为如果信任区域中如果没有CNNIC 证书,那么在网络活动中,在访问加密站点时,系统或浏览器有可能会自动更新证书,使CNNIC 证书被自动的加入到系统或浏览器中,并激活。如果在信任区域中有此证书但是处于停用状态,系统或浏览器就不会自动更新,
8
,系统或浏览器会知道你是不信任此证书的。
②此方法适用于采用微软CA 目录的浏览器,如:IE 、Chrome 、Safari 、Dragon 、Myie 等浏览器。
三、如何停用Firefox 3.6中的CNNIC 证书
1、导入证书
打开Firefox (或FirefoxPortable ),点击工具→选项→高级→加密→查看证书(→证书机构→导入(,如下图示:
9
,同样操作依次选中下载的五个证书文件(每次选中一个):
双击选择一个证书即可导入(或点击一个文件,然后点击“打开” )。此时会出现两种情况:
● 如果被导入的证书文件在Firefox (或FirefoxPortable )浏览器中已经存在,那么会看到如下图示:
这时点击按钮确定关闭该窗口,然后再点击导入(M) 按钮,继续导入后面的证书;
● 如果被导入的证书在Firefox (或FirefoxPortable )浏览器中不存在,就会看到如图所示情况: 10