今天真冷 : CNNIC申请FireFox“ROOT CA”的前前后后 - 一五一十部落 ...

CNNIC申请FireFox“ROOT CA”的前前后后 / 今天真冷

############################################################

背景知识：

1、CNNIC为中国互联网信息中心，官方网站：http://www.cnnic.com.cn

2、CNNIC在2009年底获批准成为Firefox浏览器的默认顶级数字证书管理机构（ROOT CA）

3、MITM（Man-in-the-Middle Attack，中间人攻击），指两台互相通信的设备之间的信息被第三方截获，更改，嗅探的行为即为MITM。

#############################################################

故事要从2009年的2月3日美国太平洋时间19:11:43（北京时间上午11：11：43）说起。这一天是中国2009年春节假期结束后的第二天。北京的天气阴沉寒冷。

位于中关村中科院软件园的CNNIC里一位名叫Liu Yan（liu_yan@cinic.cn）的员工刚刚在Mozilla基金会的BUG追踪网站上提交了一个BUG----要将CNNIC申请成为FireFox的ROOT CA。但他对bugzilla的系统一知半解，对mozilla的CA申请流程和要求也不太熟悉，发完帖子后,只好硬着头皮等待下文了。

注：

1、Liu yan提交的申请：

https://bugzilla.mozilla.org/show_bug.cgi?id=476766

2、Mozilla CA申请规则:

https://wiki.mozilla.org/CA:How_to_apply

三天之后，2月6日上午，Mozilla的一个负责人员Kathleen Wilson（kathleen95014@yahoo.com）给了一个回复，接受了这个BUG提交，并开始了信息搜集与验证工作。Liu yan按照Wilson的要求将相关信息整理成为了一份文档，同时Wilson就文档中的问题与Liu yan进行了讨论。同时也对Liu yan同志如何使用Bugzilla系统进行了指导。这一过程一直持续到2009年的3月4日，当天Wilsong将申请提交到了Mozilla的CA公开讨论队列中，标志着这一事件进入了一个新的阶段。

但在这一过程中，有一件事不可不提，那就是在Wilson和Liu yan的讨论过程中，Liu yan同志有意无意的对Wilson撒了一个谎：当wilson对CNNIC的身份产生质疑时，Liu Yan说CNNIC是一个非营利性组织（non-profit organization）回避了CNNIC身为政府组织的事实。也许这不是Liu yan的本意，但他的确这样做了。

可能Wilson拿一个西方人的智慧，他永远也弄不明白中国的这套纠缠交错行政体系。

注：

1、该过程中相关文档下载：

Liu yan提交的：

https://bugzilla.mozilla.org/attachment.cgi?id=361221

Wilson整理的：

https://bugzilla.mozilla.org/attachment.cgi?id=361808

2、Mozilla CA申请公共讨论对列：（已无CNNIC）

https://wiki.mozilla.org/CA:Schedule#Queue_for_Public_Discussion

之后是长达7个月的等待。2009年10月9日，Mozilla上讨论终于进行到下一阶段，Wilson制作了一个CNNIC的root.cer证书文件，同时要求Liu yan提供2009年度webtrust网站上的验证地址。（因为Liu yan在上一个阶段提交的文档中称CNNIC拥有webtrust的二级CA，但提供的是2008年的验证网址）。随后Wilson宣布所需资料已经全部收集完毕，开始下一阶段的公开讨论。

注：

1、2008年webtrust验证网址：

https://cert.webtrust.org/ViewSeal?id=805

2、2009年webtrust验证网址：

https://cert.webtrust.org/ViewSeal?id=935

2009-10-22的上午，Wilson在发表回复，宣布公开讨论阶段结束。同时从技术和非技术的角度列出了一个简单摘要，初步同意该申请。同时公开征求排错。在该摘要中Wilson认为CNNIC的工作和Mozilla的用户有一定的相关性。

一周的公示期之后，关于此问题并无异议出现。2009年10月28日，wilson发表回复说将形成正式文档向Mozilla提交。同日，wilson在bugzilla上提交了一个申请，将CNNIC root CA加入NSS。

注：

1、Wilson的回复：

https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c14

2、wilson提交的申请：

https://bugzilla.mozilla.org/show_bug.cgi?id=525008

2009年12月18日，Wilson正式宣布，将于Firefox3.6中内置CNNIC为ROOT CA。

注：

1、Mozilla内置CA列表：

http://www.mozilla.org/projects/security/certs/included/#CNNIC

2、Mozilla基金会的CA管理策略（1.2版）：

http://www.mozilla.org/projects/security/certs/policy/

3、CNNIC的CA管理策略：

http://www.cnnic.cn/uploadfiles/pdf/2009/7/3/163452.pdf

此事至此对CNNIC来说，可谓尘埃落定，就等Firefox3.6推广使用了。

但对于广大国内互联网用户来说，事情才刚刚开始。

2010年1月27日，网友lihlii第一个在bugzilla上留言反对将CNNIC加入ROOT CA。

同日，网友thomas92911在bugzilla提交了一个新的申请，要求mozilla基金会从Firefox的ROOT CA中删除CNNIC。

2010年1月28日CNNIC的liu yan 又发文回复称，CNNIC是一个只做技术研究工作的组织和政府无关，同时CNNIC成为ROOT CA不会对大家造成安全风险。

2010年2月1日，autoproxy的作者WCM在其网站上发文：CNNIC CA：最最最严重安全警告！

从技术角度对CNNIC成为ROOT CA后，如果被滥用可能导致的MITM风险表示担心。同时在文中也给出了手工移除CNNIC 证书的方法。

然后不久，WCM称autoproxy网站遭攻击，无法访问。于是将该文公开共享在google doc中。

随后在twitter中掀起了一波关于此事的讨论，thomas92911提交的删除CNNIC的申请中的回复留言迅速增多。

2010年2月4日，WCM在twitter中称，接到CNNIC的电话，被邀喝茶。同时称CNNIC在电话中非常客气、强调他们是很有责任感的人。并试图说服WCM，未成功。

注：

1、lihlii的回复：

https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c18

2、liu yan的回复：

https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c29

3、thomas92911的申请：

https://bugzilla.mozilla.org/show_bug.cgi?id=542689

4、autoproxy文章：

http://autoproxy.org/zh-CN/node/66

google doc：

https://docs.google.com/View?id=d5j3s7p_7f9r489fg

5、WCM的twitter：

http://twitter.com/wcm

数日后，一批移除CNNIC ROOT CA的文章和工具如雨后春笋般冒了出来。

略举一二：

http://bit.ly/acJJQB

http://tinyurl.com/ycrhpf8

后记：

本文最初始的题目叫：从CNNIC申请ROOT CA，谈企业信任危机。

但写的过程中，发现很多资料不齐备，自己的想法还不是很完整，有一些敏感话题的尺度还没有

考虑清晰，因此中途作罢，将题目改为现在这样，做一个关于此事的客观记述。

至于“信任危机”之文，等考虑成熟一些再说。

@hand0119

2010.2.6