今天真冷 : CNNIC申请FireFox“ROOT CA”的前前后后 - 一五一十部落 ...
来源:百度文库 编辑:神马文学网 时间:2024/05/01 19:31:08
CNNIC申请FireFox“ROOT CA”的前前后后 / 今天真冷
2010-02-08 11:46 | 阅读(1837) | 标签: cnnic, CA, firefox, 信任危机 | 字号:大 中 小############################################################
背景知识:
1、CNNIC为中国互联网信息中心,官方网站:http://www.cnnic.com.cn
2、CNNIC在2009年底获批准成为Firefox浏览器的默认顶级数字证书管理机构(ROOT CA)
3、MITM(Man-in-the-Middle Attack,中间人攻击),指两台互相通信的设备之间的信息被第三方截获,更改,嗅探的行为即为MITM。
#############################################################
故事要从2009年的2月3日美国太平洋时间19:11:43(北京时间上午11:11:43)说起。这一天是中国2009年春节假期结束后的第二天。北京的天气阴沉寒冷。
位于中关村中科院软件园的CNNIC里一位名叫Liu Yan(liu_yan@cinic.cn)的员工刚刚在Mozilla基金会的BUG追踪网站上提交了一个BUG----要将CNNIC申请成为FireFox的ROOT CA。但他对bugzilla的系统一知半解,对mozilla的CA申请流程和要求也不太熟悉,发完帖子后,只好硬着头皮等待下文了。
注:
1、Liu yan提交的申请:
https://bugzilla.mozilla.org/show_bug.cgi?id=476766
2、Mozilla CA申请规则:
https://wiki.mozilla.org/CA:How_to_apply
三天之后,2月6日上午,Mozilla的一个负责人员Kathleen Wilson(kathleen95014@yahoo.com)给了一个回复,接受了这个BUG提交,并开始了信息搜集与验证工作。Liu yan按照Wilson的要求将相关信息整理成为了一份文档,同时Wilson就文档中的问题与Liu yan进行了讨论。同时也对Liu yan同志如何使用Bugzilla系统进行了指导。这一过程一直持续到2009年的3月4日,当天Wilsong将申请提交到了Mozilla的CA公开讨论队列中,标志着这一事件进入了一个新的阶段。
但在这一过程中,有一件事不可不提,那就是在Wilson和Liu yan的讨论过程中,Liu yan同志有意无意的对Wilson撒了一个谎:当wilson对CNNIC的身份产生质疑时,Liu Yan说CNNIC是一个非营利性组织(non-profit organization)回避了CNNIC身为政府组织的事实。也许这不是Liu yan的本意,但他的确这样做了。
可能Wilson拿一个西方人的智慧,他永远也弄不明白中国的这套纠缠交错行政体系。
注:
1、该过程中相关文档下载:
Liu yan提交的:
https://bugzilla.mozilla.org/attachment.cgi?id=361221
Wilson整理的:
https://bugzilla.mozilla.org/attachment.cgi?id=361808
2、Mozilla CA申请公共讨论对列:(已无CNNIC)
https://wiki.mozilla.org/CA:Schedule#Queue_for_Public_Discussion
之后是长达7个月的等待。2009年10月9日,Mozilla上讨论终于进行到下一阶段,Wilson制作了一个CNNIC的root.cer证书文件,同时要求Liu yan提供2009年度webtrust网站上的验证地址。(因为Liu yan在上一个阶段提交的文档中称CNNIC拥有webtrust的二级CA,但提供的是2008年的验证网址)。随后Wilson宣布所需资料已经全部收集完毕,开始下一阶段的公开讨论。
注:
1、2008年webtrust验证网址:
https://cert.webtrust.org/ViewSeal?id=805
2、2009年webtrust验证网址:
https://cert.webtrust.org/ViewSeal?id=935
2009-10-22的上午,Wilson在发表回复,宣布公开讨论阶段结束。同时从技术和非技术的角度列出了一个简单摘要,初步同意该申请。同时公开征求排错。在该摘要中Wilson认为CNNIC的工作和Mozilla的用户有一定的相关性。
一周的公示期之后,关于此问题并无异议出现。2009年10月28日,wilson发表回复说将形成正式文档向Mozilla提交。同日,wilson在bugzilla上提交了一个申请,将CNNIC root CA加入NSS。
注:
1、Wilson的回复:
https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c14
2、wilson提交的申请:
https://bugzilla.mozilla.org/show_bug.cgi?id=525008
2009年12月18日,Wilson正式宣布,将于Firefox3.6中内置CNNIC为ROOT CA。
注:
1、Mozilla内置CA列表:
http://www.mozilla.org/projects/security/certs/included/#CNNIC
2、Mozilla基金会的CA管理策略(1.2版):
http://www.mozilla.org/projects/security/certs/policy/
3、CNNIC的CA管理策略:
http://www.cnnic.cn/uploadfiles/pdf/2009/7/3/163452.pdf
此事至此对CNNIC来说,可谓尘埃落定,就等Firefox3.6推广使用了。
但对于广大国内互联网用户来说,事情才刚刚开始。
2010年1月27日,网友lihlii第一个在bugzilla上留言反对将CNNIC加入ROOT CA。
同日,网友thomas92911在bugzilla提交了一个新的申请,要求mozilla基金会从Firefox的ROOT CA中删除CNNIC。
2010年1月28日CNNIC的liu yan 又发文回复称,CNNIC是一个只做技术研究工作的组织和政府无关,同时CNNIC成为ROOT CA不会对大家造成安全风险。
2010年2月1日,autoproxy的作者WCM在其网站上发文:CNNIC CA:最最最严重安全警告!
从技术角度对CNNIC成为ROOT CA后,如果被滥用可能导致的MITM风险表示担心。同时在文中也给出了手工移除CNNIC 证书的方法。
然后不久,WCM称autoproxy网站遭攻击,无法访问。于是将该文公开共享在google doc中。
随后在twitter中掀起了一波关于此事的讨论,thomas92911提交的删除CNNIC的申请中的回复留言迅速增多。
2010年2月4日,WCM在twitter中称,接到CNNIC的电话,被邀喝茶。同时称CNNIC在电话中非常客气、强调他们是很有责任感的人。并试图说服WCM,未成功。
注:
1、lihlii的回复:
https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c18
2、liu yan的回复:
https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c29
3、thomas92911的申请:
https://bugzilla.mozilla.org/show_bug.cgi?id=542689
4、autoproxy文章:
http://autoproxy.org/zh-CN/node/66
google doc:
https://docs.google.com/View?id=d5j3s7p_7f9r489fg
5、WCM的twitter:
http://twitter.com/wcm
数日后,一批移除CNNIC ROOT CA的文章和工具如雨后春笋般冒了出来。
略举一二:
http://bit.ly/acJJQB
http://tinyurl.com/ycrhpf8
后记:
本文最初始的题目叫:从CNNIC申请ROOT CA,谈企业信任危机。
但写的过程中,发现很多资料不齐备,自己的想法还不是很完整,有一些敏感话题的尺度还没有
考虑清晰,因此中途作罢,将题目改为现在这样,做一个关于此事的客观记述。
至于“信任危机”之文,等考虑成熟一些再说。
@hand0119
2010.2.6