你是怎样被钓鱼的

还记得谷歌退出事件吗？谷歌声称，某些背景不明的黑客使用钓鱼网站窃取了其用户的 Gmail 账号。

当时看到这些的时候，我很纳闷，Gmail 怎么这么容易被钓鱼呢？况且 Gmail 还是使用了 SSL 的。即使有背景的黑客们“攻击”了 ISP, 污染了 DNS, 成功地将 Gmail 劫持到了某 IP, 但 SSL 关应该是过不了的吧。如果网站没有 SSL 或者网站的 SSL 有问题，用户应该都可以通过浏览器发现的。那用户又是怎么被蒙蔽的呢？

最近在网上逛荡，发现 CNNIC 已经获得了安全证书的发放资格，取得了 Windows 及很多浏览器的信任。CNNIC 是什么大家应该都知道的，就是那个制作流氓软件“中文上网”的机构，就是管理 CN 域名和中文域名的机构，也就是那个开始时低价推广 CN 域名后来又大力打压的反复无常朝令夕改的机构。

我瞬间有了钓鱼的思路。CNNIC 的背景大家都知道，让 CNNIC 为它写个证书是再简单不过了。CNNIC 可以为 Gmail 的域名写一个证书，然后交给它的背景，再由背景搭建一个服务器，添加 SSL 支持，导入证书。然后由 GFW 或者国内的 DNS Mirrors 将 Gmail 的域名定向到这个服务器，即使用户要求 SSL, 证书依然是通过的。这个时候就可以钓鱼了。除了钓鱼，其实还可以做一些更加有创意的事情，比如用户在这个虚假的服务器上的操作被过滤后传达到真正的 Gmail 服务器上，再由这个服务器将 Gmail 的回应过滤后发送给用户。

啊，这会不会是未来 GFW 过滤 SSL 的思路？！

所以，信任 CNNIC 的证书是危险的。我们怎样能让浏览器拒绝 CNNIC 的证书呢？那就是将该证书列入不信任的证书行列。以 Windows 7 Ultimate 64bit 为例，首先我们设置 Firefox 的证书，菜单栏中点击工具 » 选项 » 高级 » 加密 » 查看证书，然后查找到 CNNIC 项，里面有个子项 CNNIC Root, 点编辑，然后去掉所有的√；再找到 Entrust.net , 里面有个 CNNIC 项，直接删除之，确定。

Firefox Certification Manager

然后开始 » 运行，输入 certmgr.msc 后回车，单击菜单栏操作 » 查找证书，在包含中输入 CNNIC, 在查找的结果中，逐项设置其属性。即在某项上单击右键，点击属性，在常规选项卡中，选择禁用此证书的所有目的，确定。依次设置好每个查找出的 CNNIC 证书的结果后，非 Firefox 浏览器应该也可以同样识别 CNNIC 的证书并提醒用户停止访问了。

Windows 7 Certification Manager

测试你的浏览器是否能够验证此类网站，可以访问由 CNNIC 认证的 SSL 网站，比如 https://www.enum.cn/ . 如果浏览器提醒你，这个页面无法显示（IE 会这样提醒），或者这个页面危险（Firefox, Chrome 等会这样显示），那么，你就成功了。

Invalid Certification

顺便发发牢骚，那个 Fucky 的 GFW 最近太牛逼了，谷歌 Chrome 的 Extensions 都墙。最近还想下点 MIT 的 OpenCourseWare 都不行，因为 MIT 把这些东西的视频全部给上传到了 Youtube… 万恶的 GFW!!!