流刘超转自自由亚洲
问:CNNIC的电子根证书,一直被不少网络保安专家视为心腹大患,因为黑客利用CNNIC核发的根证书进行中间人攻击。但iOS并不容许用户自行移除根证书,令不少人感到相当不安。iOS 9推出后,到底有没有解决CNNIC证书问题?iPad和iPhone用家可以免受CNNIC证书的威胁吗?
李建军:根据苹果公布的iOS 9信任根证书清单,已经将CNNIC的根证书剔除了信任名单外,并且将怀疑涉及中间人攻击,由CNNIC发出的证书列入受封锁证书。倘若你完全不能够信任CNNIC的证书,可以考虑将你手上的iOS装置升级为iOS 9。
而iOS 7和iOS 8纵使作出了保安更新都好,都仍然视CNNIC发出的根证书是可信任证书,因此,除非你的设备无法支援iOS 9,否则都应尽快更新你的设备 为iOS 9,避免CNNIC证书的问题。而在流行的iOS设备中,只有iPhone 4完全不支援iOS 9,若然你仍然使用iPhone 4,就应该考虑升级为iPhone 4S或以上版本,并且升级为iOS 9以策安全。
问:那在Mac OS X上,情况又如何,是否需要以手动方式移除证书?
李建军:很视乎你用的OS X版本,如果你用最新版的10.11,由于苹果已经不支援CNNIC根证书,所以你的电脑很安全,不需要对信任证书清单作出任何更动。如果你使用10.10,只要你是最新版本,都不会信任CNNIC的根证书,所以都不用作出改动。但如果你用10.9的话,就仍然会信任CNNIC根证书,由于苹果近年升级作业系统都是免费,除非你的Mac太旧,支援不了10.10或10.11,否则最有效直接的方法就是将作业系统升级为10.10或10.11,那就不会再受CNNIC根证书问题困扰,亦不会再受有问题由CNNIC核发的证书所攻击,导致资料外泄等问题。
问:那是否代表Safari浏览器是安全,不再受CNNIC的问题影响?
李建军:如果你用Mac或iOS,由于这两个作业系统上的Safari浏览信任证书清单是紧跟作业系统,所以只要你升级了iOS或Mac OS X到不支援CNNIC证书的作业系统,那就问题不大。由于Windows版上的Safari己经太旧,亦可能有太多保安漏洞,所以不应再用Windows版的Safari,改用Firefox或Chrome等开放源码浏览器可能更为安全可靠。
问:那现时还有什么作业系统或浏览器有可能受到CNNIC根证书问题影响?
李建军:现时仍然支援CNNIC根证书的浏览器以及作业系统,就只有微软的Windows以及IE,因此,你有可能需要自行以手动方式,移除IE和Windows中对CNNIC的信任。而暂时为止,都未见有微软会采取任何行动,终止对CNNIC根证书的任何支援。
问:现时Firefox、Chrome甚至苹果的作业系统,都对CNNIC抱持不信任态度,其实会否影响到听众日常的网上生活,例如登入中国主要国有银行的网站,或使用中国的网站服务等。
李建军:其实中国主要的网站,都对CNNIC不甚捧场,像中国银行、工商银行、新浪邮箱等登入时所使用的证书,都由美国公司Symantec发出,而并非由CNNIC发出,所以现时各大作业系统和浏览器拒绝支援CNNIC根证书,对网民生活的影响已经相当低。因为中国大型国企都不用CNNIC根证书,那些使用CNNIC根证书的网站存在目的是什么,相当值得怀疑。
只不过由于近日Symantec发出的部分证书都出现问题,谷歌已经采取步骤不信任一小部分于十年前甚至廿年前发出的根证书,所以于浏览个别网站时有机会受到影响,但中国的网站大多数采用新版本的Symantec根证书,所以实际上会受到影响的听众是相当之少。