删除CNNIC根证书的上网安全教程(110409更新)

删除CNNIC根证书的上网安全教程，20110409更新完整教程，内容包括如何删除（停用）系统或各种 流行的浏览器中的CNNIC证书的方法，为了上网的安全和安全使用网上银行帐号等，建议国内和国外用户都删除（停用）CNNIC证书。美博园郑重推荐，这 是目前最完整的删除CNNIC根证书安全上网的教程。

2011-04-09 如何删除（停用）系统或浏览器中的CNNIC证书V 1.32
下载地址1（訊6网盘）：删除CNNIC证书V 1.32（deletecnnic.zip）
下载地址2（Box网盘）：删除CNNIC证书V 1.32（deletecnnic.zip）
下载地址3（MediaFire网盘）： 删除CNNIC证书V 1.32（deletecnnic.zip）
下载地址4（Dropbox网盘）： 删除CNNIC证书V 1.32（deletecnnic.zip）
MD5、SHA1验证值：
File: deletecnnic.zip
Size: 582,639
MD5: 89280F2EAFC2BA7EAD131CBA018581C5
SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5
———– 2011-04-09 之前的文章描述 —————–
一、为什么要删除（停用）系统中的CNNIC证书（CNNIC根级证书的危害性）
CNNIC就是中国互联网络信息中心，由于其强权霸道的作风，CNNIC 在中国网民中被称为最大的流氓机构，Firefox和微软在最近的根证书升级列表里面将CNNIC列为“受信任的根证书发行机构”。这样，以后通过 https协议（即以前的安全保障ssl加密）访问经过CNNIC颁发证书的网站将不会觉察到任何告警，用户也不需要在像安装某些软件时导入根证书。因为 一些人控制了国内域名服务，随意封网，咔网，所以它们做一个假的网站对国内用户攻击就非常容易了，你的Firefox浏览器或IE浏览器访问时不会跳出任 何警告而直接让你去登陆，而以前你的 Firefox会拒绝访问的，也就是说以前有些人做不到的攻击现在可以成为现实了。为避免受其害，下面给出解决方法。
二、如何删除WINDOWS系统中的CNNIC证书
此方法适用于基于微软CA目录的浏览器,这类浏览器包括IE系列(微软公司)、Chrome(谷歌公司)、Safari(苹果公司)、Dragon(Comodo公司)
第一步、导入CNNIC证书到证书管理器中的信任区域，并停用证书
1 下载CNNIC证书：
下载CNNIC证书，解压后,将会得到CNNIC证书的三个文件:
CNNICROOT.crt
CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt（注：序列号37:4A:D2:43）
下载证书：CNNIC证书下载
2 打开操作系统的证书管理器:
鼠标点击 左下角的“开始”—> “运行” —>输入certmgr.msc —>确定
此时已打开Windows的证书管理器。

3 安装证书到受信任的根证书颁发机构栏目中，然后再停用证书：
分别双击这三个文件，会出现安装界面，按提示安装，在安装过程中，一直选中默认的设置即可。
即: 双击证书文件–>安装证书–>下一步—>点选：根据证书类型,自动选择证书存储区—>下一步—>完成—-提示导入成功。
如果在此完成过程中,系统防火墙出现警告提示,那么请选择肯定的答复是(Y)
安装后，
CNNIC ROOT和Entrust.net Secure Server Certification Authority位于证书管理器中的在受信任的根证书颁发机构——证书 目录下，
CNNICSSL在中级证书颁发机构—–证书 目录下，
（注：在win7中，这三个证书都出现在 中级证书颁发机构—–证书 目录下）
现在停用此三个证书文件，
方法是:分别鼠标右键点击条目—点属性—属性菜单打开—选择停用这个证书的所有目的(I)（注：在win7中，禁用这个证书的所有目的(I)）—>确定
第二步、安装证书到“不信任的证书”区域:
分别双击这三个文件按提示安装,在安装过程中,一直选中默认的设置:
双击文件–>安装证书–>下一步–>点选：将所有的证书放到下列存储区域–>浏览–>选择“不信任的证书”–>下一步—>完成—-提示导入成功。
如果在此完成过程中,系统提示警告提示,那么请选择肯定的答复是(Y)
第三步、其他说明
◆ 对于微软的CA目录的证书修改，大家容易产生歧义。或许要问到为什么要导入到信任区域，其实这个过程是配合第二步的停用此证书来使用的，因为如果信任区域 中如果没有CNNIC证书的话，那么在网络活动中，在访问加密站点时，有可能系统会自动更新证书，使CNNIC证书加入系统中，并激活。如果在信任区域中 有此证书但是处于停用状态的话，就不会自动更新。系统会知道你是不信任此证书的。
◆ 此方法适合于采用微软CA目录的浏览器,比如:IE、Chrome、Safari、Dragon
三、如何删除Firefox 3.6中的CNNIC证书
打开Firefox ，点击工具—>选项—>高级—>加密—>查看证书—>证书机构
找到CNNIC和CNNICSSL项，删除即可。然后再找到Entrust.net Secure Server Certification Authority项删除，注意此项可能有二个，删除序列号37:4A:D2:43的就可以了，查看序列号的方法是选中此项目后，点击“查看(V)”
特别说明:
1. 默认的Firefox的证书中可能没有CNNIC SSL 所以为避免其访问加密站点时自动安装進来，所以可以先行导入，导入方法是在Firefox的证书管理器中，按导入（M）按钮后，选取CNNICSSL.CRT，按默认操作导入即可；
2.在Firefox里对自带根证书执行“删除”操作命令，就相当于是禁用其所有目的，并不会将其删除.
验证方法是：比如点击选中CNNIC ROOT 后，再点击“编辑”按钮，可以查看到其信任设置框已取消了，即选框中的几个选项全部没有选中。
四、如何在opera浏览器中删除CNNIC证书
在Opera浏览器中也需要事先导入此三个证书：
方法是：启动Opera浏览器后,点工具—>首选项—>高级—>安全性—>管理证书—>颁发机构—>导入— >需要分别选择CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt—>安装，Entrust.net Secure Server Certification Authority安装后显示为Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的证书也是在Opera中的证书管理器—>中间证书认证中导入安装的。
现在开始在Opera中停用此证书:
依次点击工具—>首选项—>高级—>安全性—>管理证书—>证书颁发机构（或中间证书认证）—>分别双击三个证书—>取消“允许连接到使用此证书的网站” —>确定。
五、为Mac的Safari屏蔽CNNIC根证书
CNNIC也作为Mac的系统根证书存在,我们可以把它设置为“不信任”。那么当你用Safari打开使用CNNIC签发的CA证书的网站时，同样会有提示。
具体方法如下:
1、打开“钥匙串”，并且在左侧面板找到“系统根证书”，然后在右侧面板找到“CNNIC”。
2、然后双击查看证书，在最上面有“信任”项目，点左边的三角将其打开。然后按照下图将证书设置为“永不信任”
3、然后会让你输入用户名和密码。输入后确定。这样，CNNIC就永远不会被信任了。
六、结果测试
一般按教程步骤操作正确的话，应该就没有问题了。
七、关于停用CNNIC证书的浏览器在线更新问题
请注意，所有停用CNNIC证书的浏览器，请继续保持其在线更新的状态，以保证浏览器处于最安全的状态，浏览器的在线自动更新并不影响已停用的CNNIC证书，CNNIC证书的停用状态仍然有效。
八、关于CNNIC根级证书三个证书存在状态的说明
CNNIC的根级证书一共有三个：分别是
CNNIC ROOT
CNNIC SSL
Entrust.net Secure Server Certification Authority（注：序列号37:4A:D2:43）
这三个证书文件在某些系统或是浏览器中并不一定会同时存在的，但是，在任何一个情况下，如果只存在其中的任意一个或是任意二个，那么都得按本文所陈述的方法处理。
九、关于部分银行网站使用CNNIC签名问题
对安全性要求较高的用户可以使用停用了CNNIC证书的浏览器来浏览海外网站，当不得不用CNNIC的根证书时，（因为国内的一些银行网站是使用了CNNIC证书的，但不建议在破网的系统里使用网上银行），可以换用其他没有停用CNNIC证书的浏览器。

本文标题：美博园 - 删除CNNIC根证书的上网安全教程(110409更新)