引言回覆:
CNNIC 就跟 TWNIC 一樣,是國家級的網路管理中心,主要負責如 domain registration 業務。雖然 CNNIC 號稱是非營利組織,但實際上對於豎立 GFW 之中國政府的各項要求,沒有能力拒絕。事實上,CNNIC 也幹過,發佈內含流氓軟件功能,且使用者無法刪除的中文上網官方版軟體這種事。
由於 CNNIC SSL CA 被納入 Root CA,依據 SSL CA 的階層式信任的架構,CNNIC 隨時可以發佈假的 CA,進行 SSL MITM (Man-In-The-Middle) 攻擊。這個意思是說,當你從境外連結中國境內的網站,透過 SSL 登入該網站系統時,即使瀏覽器顯示此 SSL 安全連線安全無虞,但實際上因為假的 CA 之故,很有可能連到的實際上是個釣魚網站 (DNS hijacking 是中國 GFW 常用的技倆)。因此,你的帳號密碼,就會被竊取;而如果這密碼是平常常用的密碼,那你所有平常用的資訊服務,盡皆淪陷。
另一種更可能的情境是,在中國境內連 Gmail 時,由於 CNNIC 的假 CA 與 DNS hijacking 之故,連到的是假的 Gmail 登入頁,你很可能毫無所覺,使自己的 Gmail 帳號密碼拱手予人。
詳細連結:http://www.jeffhung.net/blog/articles/jeffhung/2804/
bugzilla 的 投票:https://bugzilla.mozilla.org/show_bug.cgi?id=542689