Feb 10, 2010

(Quan trọng) Khựa – Firefox 3.6 và bảo mật

Trước hết là 1 link từ Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=476766

Đọc cái link trên thì có thể thấy là từ Firefox 3.6, Mozilla đã chấp nhận CNNIC của Trung Quốc làm root CA Certificate. Điều này có nghĩa là mọi certificate do CNNIC phát hành đều sẽ được Firefox chấp nhận.

Thông thường, khi kết nối bảo mật bằng SSL, trang web sẽ gửi certificate của mình đến trình duyệt người dùng. Để biết được certificate này có là nguyên gốc không, trình duyệt sẽ kiểm tra phần tổ chức ký nhận certificate. Thường gặp nhất là VeriSign của Mỹ.

Việc CNNIC được đưa vào root CA Certificate nghĩa là CNNIC có thể tổ chức các tấn công MITM (Men In The Middle – người trung gian). Mọi thông tin giữa trình duyệt ra bên người CNNIC đều có thể theo dõi được, kể cả khi đã dùng mã hoá.

Chẳng hạn như bạn truy cập GMail. Nếu tôi có quyền điều khiển một máy nào đó trong kết nối giữa bạn và GMail, tôi vẫn không thể làm giả thông tin hay theo dõi thông tin được do mọi thông tin đều đã được mã hoá bằng Certificate. Tôi không thể tự gửi đến bạn certificate giả do tôi không thể giả chữ ký của các root CA certificate, mà tôi tự ký thì tất nhiên máy bạn sẽ không chấp nhận.

CNNIC thì khác, do họ là Root CA Certificate, họ có thể phát hành bất kỳ certificate nào họ muốn. CNNIC sẽ giả làm bạn để kết nối đến GMail. Mọi thông tin do GMail gửi đến bạn, CNNIC sẽ giải mã, sau đó mã hoá bằng certificate giả mà họ tự ký, sau đó gửi đến máy bạn.

Với quyền Root CA Certificate trong tay, chính phủ Trung Quốc có toàn quyền theo dõi mọi kết nối thông tin. Và quyền này không chỉ gói gọn trong lãnh thổ Trung Quốc. Nếu một cá nhân/tổ chức nào được sự chấp thuận của CNNIC để tạo các chữ ký giả thì họ hoàn toàn có thể theo dõi các thông tin của người khác ở bất kỳ đâu trên thế giới, kể cả nước Mỹ nếu họ có thể can thiệp vào kết nổi của bạn.

Có rất nhiều tổ chức trên thế giới được cấp root CA Certificate, nhưng với Khựa lại là chuyện khác, chả cần nói thì ai cũng biết các bạn Khựa thâm đến mức nào, thế nên cẩn thận là không bao giờ thừa. Mình khuyên các bạn nên xóa ngay CNNIC trong mục mã hóa của FF đi, việc này sẽ không làm ảnh hưởng đến quá trình sử dụng FF của các bạn.

Để xoá CNNIC khỏi Root CA Certificate:
Vào menu Tools\Options, mở tab Advanced\Encryption, vào View Certificates.
Tìm đến CNNIC, chọn dòng thứ 2 “CNNIC Root” rồi nhấn Delete.
Đồng ý khi được hỏi, thế là xong, không phải lo nữa

Thông tin được 1 người bạn chỉ cho, không phải của mình :)

No related posts.

682 Comments2010-02-10+10%3A19%3A11Gyo

Remove CNNIC from Root CA Certificate in Firefox | Đỗ Nam Khánh weblog June 5, 2010 at 11:30 pm

[...] information why you should remove CNNIC from Root CA Certificate in Firefox: http://www.dinhnguyen.info/wordpress/2010/02/10/quan-trong-khua-firefox-3-6-va-bao-mat This entry was posted in Trick. Bookmark the permalink. Post a comment or leave a [...]

Reply
cheminguyen August 14, 2010 at 2:55 pm

Đúng là khó mà tin vào chú China được!
Bạn có nghĩ là tất cả các kết nối có SSL đều đi qua Root CA của CNNIC?
My recent post Côn trùng sẽ là nguồn thực phẩm trong tương lai

Reply