近段時間，關于 CNNIC 的 CA 證書問題，在網上搞得沸沸揚揚。但是俺發覺，即使是一些 IT 行業的技術人員，也搞不太明白該問題的嚴重性（至于不懂技術的普通用戶，就更甭提了）。主要在于 CA 證書是一個相對專業的東東，大伙兒平時接觸不多。那電腦中有了CNNIC的證書，會出現啥鳥事捏？俺大概說一下。
　　◇“中間人攻擊”的風險
　　中間人攻擊的風險，是最危險的，也是最經常被提及。
　　CA證書對于https協議的重要性（可以防止攻擊者偽造虛假網站）不用多說。既然CNNIC已經成為合法的CA，那它就能堂而皇之地制作并發布CA證書。然后捏，再配合進行DNS的域名污染。那就可以輕松搞定任何網站的HTTPS加密傳輸。
　　◇ActiveX控件的風險
　　另外一個大伙兒不太關注的風險，是關于ActiveX控件的問題。前幾年，很多惡意軟件（包括流氓軟件、木馬）都是通過IE控件的技術，安裝到大伙兒的電腦上。后來微軟加強了多ActiveX控件的驗證：在IE的默認設置下，對于沒有數字簽名的ActiveX控件，是拒絕安裝滴；而對于有數字簽名的控件，則會給出提示。
　　因此，CNNIC可以很輕松地給自己的ActiveX控件制作數字證書。然后把控件放到網上。某些粗心的電腦用戶看到IE跳出的安裝控件提示，多半沒細看，直接就點了“確定”按鈕。
　　★如何清理門戶？
　　其實網上關于如何去掉證書的操作指南，多如牛毛，所以俺就簡單說一下，懶得再抓圖了。
　　有些瀏覽器（IE、Chrome、Safari）使用的是操作系統的證書體系。這種情況下，你需要把CNNIC證書從操作系統的證書體系中去掉。還有些瀏覽器（比如Firefox、Opera）是自己帶了一套證書體系。你只要在其配置界面，把不要的證書去除即可。下面分不同的瀏覽器，不同的操作系統，分別介紹。
　　◇清理Windows的證書（適用IE、Chrome、Safari）
　　對于使用Windows下的IE或Chrome或Safari瀏覽器，則需要執行如下步驟：
　　1. 運行Windows的證書管理器（到命令行執行certmgr.msc）。
　　2. 選中“受信任的根證書頒發機構”=>“證書”。
　　3. 查看右邊的證書列表。如果里面已經有CNNIC的證書，直接跳到第7步。
　　4. 先翻墻到“這個頁面”下載現成的CNNIC證書（要解壓縮出來）。
　　5. 鼠標在“受信任的根證書頒發機構”=>“證書”上點右鍵。在右鍵菜單中點“所有任務”=>“導入”。
　　6. 出現一個導入向導，根據先導一步步的提示，把上述CNNIC證書導入到證書列表中。
　　7. 選中CNNIC證書，點右鍵。在右鍵菜單中點“屬性”。
　　8. 在跳出的屬性對話框中，選中“停用這個證書的所有目的”，然后確定。
　　9. 最后，為了保險起見，再把這三個證書，導入到“不信任的證書”中（方法和上述類似）。
　　注：上述操作僅對當前用戶生效。如果你的Windows系統中有多個常用的用戶帳號，要對每一個用戶進行上述設置。
　　◇清理蘋果Mac OS的證書（適用Safari、Chrome）
　　對于使用Mac OS下的Safari或Chrome瀏覽器，則需要執行如下步驟：請到“實用工具”=>“鑰匙串訪問”=>“系統根證書”=>“證書”，找到CNNIC的證書并雙擊，改為“永不信任”。
　　注：如果你的界面是洋文，其操作方式也八九不離十。俺就不再啰嗦了。
　　◇清理Linux的證書（適用Chrome、Safari）
　　對于Debian和Ubuntu系統，以管理員權限進行如下操作：
　　方法1：運行命令：dpkg-reconfigure ca-certificates 會出現一個圖形界面，把CNNIC證書不選，并確認。
　　方法2：編輯 /etc/ca-certificates.conf 文件，把CNNIC證書對應的行刪除或注釋掉。然后用命令 update-ca-certificates 使之生效。
　　注：對于其它Linux發行版本，也有類似操作，俺不再啰嗦。
　　◇清理Firefox的證書
　　不論是在哪個操作系統下，只要你用的是Firefox瀏覽器（它的證書體系獨立于操作系統的），則需要執行如下步驟：
　　1. 從菜單“工具”=>“選項” ，打開選項對話框
　　2. 切換到“高級”部分，選中“加密”標簽頁，點“查看證書”按鈕。
　　3. 在證書對話框中，切換到“證書機構”。
　　4. 里面的證書列表是按字母排序的。把CNNIC打頭的都刪除。
　　注：如果某個證書是Firefox自帶的，則刪除之后，下次再打開該對話框，此證書還在。不過不要緊，它的所有“信任設置”，都已經被清空了。
　　◇清理Opera的證書
　　不論是在哪個操作系統下，只要你用的是Opera瀏覽器（它的證書體系獨立于操作系統的），則需要執行如下步驟：
　　1. 從菜單“工具”=>“首選項” ，打開首選項對話框
　　2. 切換到“高級”標簽頁，在左邊選擇“安全性”這項。
　　3. 點“管理證書”按鈕，出來一個證書的對話框。切換到“證書頒發機構”標簽頁。
　　4. 找到CNNIC的證書并選中，點“查看”按鈕，在證書屬性對話框中，把“允許連接到使用此證書的網站”的打勾去掉
　　注：俺是基于Opera 10.10進行操作。新版本的界面可能略有差異。
　　★如何確認門戶已經清理干凈？
　　為了保險起見，在完成上述的清除工作之后，你需要用瀏覽器訪問一下老流氓的一個網站，地址是 https://www.cnnic.cn 記得用 HTTPS 協議哦。
　　如果你的瀏覽器報告該網站的證書有問題，那恭喜你，你的門戶清理干凈了 ：-）
　　如果該網站的頁面順利打開，那你就要重新檢查一下，看上述操作是否出了差錯。
　　★可能的副作用
　　有些國內網站已經開始使用CNNIC的證書，目前已經知道的有163郵箱（真鄙視網易）。但是甭擔心。去除證書后，瀏覽器在訪問上述網站時，會給出一個證書的安全警告。你只需添加一個安全例外即可。
　　了解更多互聯網知識，請登陸川石科技官網，讓您上網更方便。
上一篇：讓網站文章快速被搜索引擎收錄的秘訣
下一篇：驢媽媽App“驢游寶”問世 寫好微游記也能賺錢