流氓也有执照了

恩，这回是CNNIC，天朝局域网最大的流氓之一，具体事件包括流氓插件、CN域名注册等等，想了解黑历史的同学请看这里，这里不再废话。

这个流氓的执照是啥？CA Root Certificate。能够颁发根证书，意味着浏览器会绝对信任这个机构所发布的证书，不管是真是假。因而，CNNIC可以通过制造并替换真正的证书，来实现解密以前认为安全的HTTPS通讯。比如说，伟光正一向对于Gmail的内容颇感兴趣，苦于SSL，功夫网一直没能监听。如今CNNIC也有根证书发行权，功夫网令下，CNNIC宁有不从乎？

虽然自认没什么值得伟光正关心的东西，但也不想把通讯完全暴露在关键词过滤下面。因此现在要做的，是从浏览器里面去掉对于CNNIC的证书信任，让流氓的执照失效。俺的主浏览器是FF，因此先从FF说起。

打开FF，Tools->Options->Advanced->Encryption，点击View Certificates

找到Authorities->CNNIC->CNNIC Root，先用Export导出到一个目录里面，然后点Edit，去掉所有前面所有的勾，然后点OK。

在Entrust.net里面找到CNNIC SSL，然后步骤同上，先导出再取消复选框。

felix兄的文章里面建议把Entrust.net Secure Server Certification Authority也干掉，但根据本人实验，取消这个以后很多网站的证书都会失效，包括咱学校的Exchange Server，因此建议依据个人需要，如果自己常上的网站有用到这个证书的还是不要动这个。

FF的设置到此结束，验证网址：https://www.enum.cn/，如果提示证书无效（The connection is untrusted），那么就成功了。

IE党的少安毋躁，接下来就是IE的。由于IE与系统的结合比较紧密，因此咱得使用Windows的证书管理来做这事。

开始->运行，输入certmgr.msc打开证书管理器。

展开Untrusted Certificates，右键点击其下的Certificates，弹出的右键菜单里面选择All Tasks->Import，依次导入刚才导出的两个证书，一路Next就好。

选择刚才导入的证书，Ctrl-C复制然后Ctrl-V粘贴到Trusted Certificates下面的Certificates里面，然后依次修改Properties，选择Disable all purposes for this certificate。

确定退出，这样IE的也就搞定了。测试还是用上面那个网站，出现“There is a problem with this website’s certificate”就说明设置成功了。

基本上哦了，有用Safari/Opera/Chrome的参照felix兄的文章，电脑上没Safari/Opera/Chrome没法截图。

本文大量参考felix兄的这篇文章http://felixcat.net/2010/01/throw-out-cnnic/，特此感谢。