[感謝恆逸資訊 Patty老師補充 "對這個憑證停用所有目的" 的設定]
在 "不要錢的無線網路 -- 最貴" 這一篇網誌當中,我簡單的介紹了一下SSL與憑證之間的關係,相信大家都已經知道開啟網站的時候,"憑證" 是不可以隨便亂信任的。但是如果瀏覽器本身就已經信任了可能不安全的根憑證核發單位的話,又應該要怎樣處理呢?
今天在FB中與朋友分享了一篇文章 "在 Linux 上移除 CNNIC 憑證",其中提到了有關CNNIC(中國互聯網絡信息中心)從某些過去紀錄上來考量,是屬於較有疑慮的根憑證核發單位,因此建議移除;加上根據某可靠的數據來源也顯示,台灣大部分的網路攻擊也是來於中國,因此Firefox 3.6與4.0將CNNIC加入瀏覽器預設的根憑證信任中心的做法,某種程度來說是相對不安全的,建議可以移除。
在Firefox瀏覽器中要移除CNNIC的憑證,可以在開啟 "選項" 視窗之後,選取 "進階" –> "檢視憑證清單":
接下來從 "憑證機構" 當中,展開CNNIC下方的 "CNNIC ROOT" 憑證,按下 "刪除或取消憑證":
此時會出現如下圖的警告視窗,按下 "確定" 按鈕即可:
IE 9 預設並沒有將CNNIC加入信任的根憑證核發單位,但是比較討厭的是,當你瀏覽使用由CNNIC所核發的伺服器憑證的網站,如CNNIC 的網址衛士 (使用 Entrust.net) 或 CNNIC 的 ENUM 試驗平台 (使用 CNNIC Root Cert)時,CNNIC ROOT的憑證會自動地被加入IE 9 的任的根憑證核發單位中!! 此時可以參考下面的方法處理:
首先,在Windows的命令列視窗中,輸入 "MMC" 指令開啟主控台視窗:
接著,選取 "檔案" –> "新增/移除嵌入式管理單元":
選取 "憑證" 之後按下 "新增":
接著選取 "我的使用者帳戶",然後按下 "完成" 按鈕,再按下 "確定":
若是你有開啟過前面所提到的使用CNNIC所核發的憑證的網站,在 "受信任的根憑證授權單位" 的 "憑證" 當中,就會出現 "CNNIC ROOT" 的憑證:
此時將 "CNNIC ROOT" 憑證移到 "沒有信任的憑證" 當中,會出現下面的對話方塊:
按下 "是" 之後,在 "沒有信任的憑證" 當中,選取CNNIC ROOT憑證按下滑鼠右鍵,然後選取 "內容":
在憑證目的當中,選取 "對這個憑證停用所有目的",然後按下 "確定" 按鈕:
將來瀏覽CNNIC 的網址衛士 (使用 Entrust.net) 或 CNNIC 的 ENUM 試驗平台 (使用 CNNIC Root Cert)時,就不會自動信任以及安裝CNNIC的憑證了!!
沒有留言:
張貼留言