接上一篇《如果中美的网络断开,我们要提前准备什么?第一部分:域名解析系统(DNS)的问题》
广州星外科技原创,转载必须附上网址 https://7i24.com/top/show/20220403030017.htm
第二部分:SSL服务器证书问题
SSL服务器证书广泛用于现代网络服务中,你天天用到的健康码,小程序,各种网站,网上银行,股票交易,美团等所有手机上的APP,全部基于(Secure socket layer(SSL)安全协议来运行,一句话说,没有这个东西,整个互联网马上就回到十几年前的状态,什么重要的业务也不了,大部分数据处于:裸奔状态。 什么是SSL证书? SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数字签名又名数字标识、签章 (即 Digital Certificate,Digital ID ),提供了一种在网上进行身份验证的方法,是用来标志和证明网络通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份证。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。 当前预置在windows操作系统的根证书,可以用以下的办法看到,运行certmgr命令,查看”受信任的根证书颁发机构”: 
苹果公司的,可以看这儿: iOS 13、iPadOS 13、macOS 10.15、watchOS 6 和 Apple TVOS 13 中可用的受信任根证书列表 - Apple 支持 (中国) https://support.apple.com/zh-cn/HT210770 你可以看到,只有为数不多的少量根证书,在里面,只有一个是属于中国的,就是: CFCA证书,目前是中国唯一被预装在windows/Linux/IOS等操作系统的证书。 中国金融认证中心(简称CFCA)是经国际权威的WebTrust认证以及中国人民银行和国家信息安全管理机构批准成立的国家级CA,也是国内一流水平的电子认证服务机构和信息安全综合解决方案提供商。CFCA通过Webtrust认证,受到微软、谷歌、苹果、火狐、Adobe的认可,颁发全球信任的数字证书,是全球权威行业组织CA/B重要成员和亚洲PKI论坛成员。随着其业务和技术的快速发展,CFCA成为了国内银行业证书占有量第一的权威CA机构。 其他的,号称是中国SSL证书的,全部是假的,没有一个被预置在操作系统中。 以前CNNIC的根证书也被预置在操作系统中,CNNIC是谁?中国互联网络信息中心(China Internet Network Information Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。 CNNIC除了CNNIC Root这个根证书,还有个China Network Information Center的马甲,在2015年,CNNIC的证书被GOOGLE吊销了,苹果公司在(06:20:09 Apr 3, 2015也吊销了它),好玩吧,一个国家级的证书,一个美国公司就可以吊销它,紧接着,Windows 也禁止 CNNIC 根证书,从此,CNNIC的根证书就完全退出了市场了!连CNNIC自己的网址,也只能用美国Digicert公司的证书来认证,不相信?你可以访问下这个网站看下上面的证书: https://www.cnnic.net.cn是不是Digicert公司颁发的? 和平时期,中美蜜月时期都可以这样做!吊销你就吊销你,需要理由么?不需要!美国方面的原因说明在这儿可以看到: https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/ 根本原因是,GOOGL期下的Gmail有危害国家安全的问题,CNNIC签发了中间可以解密的证书,就被美国从市场上封杀了。 从这个事件上可以看出,生杀大权是完全被美国掌握的。 现在,我们想像下,如果中美的网络断开,除了中国金融认证中心(简称CFCA)根证书,其他25个主流根证书全部吊销中国的上千万级的SSL证书,会发生什么情况? 首先,所有用到SSL的程序在超过证书缓冲期或有效期后都用不了,你的健康码,所有APP,主流的银行,如工行(用的是Digicert)访问时就会出错! 中国的CFCA肯定不会吊销自己中国的证书吧?那只有CFCA的证书还能一直使用。 看到这儿,你肯定明白了,那我们中国人,中国公司,中国机构,就用CFCA的证书不就行了么?很可惜,CFCA的市场占有率太低了,估计连0.1%都不到,国企么,还走高价高端的路线,没有肩负起认证中国的责任,希望这个公司能听到爱国网民的声音! 其实,也有一些公司在做努力,如360发起的” 360浏览器根证书计划” https://caprogram.360.cn/#plan 还有,所有用了支付宝的浏览器,也会自动装入了Alipay.Com支付宝的根证书。 用了财付通(微信支付)的浏览器,也会自动装入Tenpay.com的腾讯根证书。 在紧急情况下,这些证书就可以签发子证书,还有,万一中美网络断了,虽然麻烦一点,我们也可以手工强行给操作系统导入中国自己的证书。 加油吧! 未完待续….. |
