CNNIC証明書をクリアする方法

過去1〜2週間、CNNICのCA証明書の問題についてオンラインで多くの議論がありました。しかし、IT 業界の技術者の中にも、問題の深刻さを十分理解していない人がいることがわかりました (テクノロジーを理解していない愚かなユーザーは言うまでもありません)。主な理由は、CA 証明書は比較的専門的なものであり、ほとんどの人があまり頻繁に触れることがないからです。では、コンピューターに CNNIC 証明書がある場合はどうなるでしょうか?簡単に紹介させてください。

◇「中間者攻撃」のリスク

中間者攻撃のリスクは最も危険であり、最も頻繁に言及されています。

https プロトコルに対する CA 証明書の重要性については説明する必要はありません (攻撃者が偽の Web サイトを偽造するのを防ぐことができます)。 CNNIC は正当な CA になったため、CA 証明書を公に作成して発行できるようになりました。次に、DNSドメイン名汚染に協力します。そうすれば、どの Web サイトでも HTTPS 暗号化された送信を簡単に取得できるようになります。

◇ActiveXコントロールのリスク

あまり注目されていないもう 1 つのリスクは、ActiveX コントロールの問題です。過去数年間、IE 制御テクノロジを通じて、多くの悪意のあるソフトウェア (不正ソフトウェアやトロイの木馬を含む) がすべてのコンピュータにインストールされました。その後、Microsoft は複数の ActiveX コントロールの検証を強化しました。IE のデフォルト設定では、デジタル署名のない ActiveX コントロールのインストールは拒否され、デジタル署名のあるコントロールの場合はプロンプトが表示されます。

したがって、CNNIC は独自の ActiveX コントロール用のデジタル証明書を簡単に作成できます。次に、コントロールをオンラインにします。不注意なコンピュータ ユーザーの中には、IE によってインストール制御プロンプトがポップアップ表示されたときに、それを注意深く読まずに直接「OK」ボタンをクリックする人がほとんどです。

★ポータルをクリーンアップするには？

実際、証明書を削除する方法についてはインターネット上に無数のガイドがあるので、写真を撮るのが面倒なので、簡単に説明するだけにします。

一部のブラウザ (IE、Chrome、Safari) は、オペレーティング システムの証明書システムを使用します。この場合、オペレーティング システムの証明書システムから CNNIC 証明書を削除する必要があります。一部のブラウザ (Firefox や Opera など) には独自の証明書システムが付属しています。構成インターフェースで不要な証明書を削除するだけです。以下は、さまざまなブラウザとオペレーティング システムの紹介です。

◇Windows 証明書のクリーンアップ (IE、Chrome、Safari に適用)

Windows の IE、Chrome、または Safari ブラウザの場合は、次の手順を実行する必要があります。

1. Windows 証明書マネージャーを実行します (コマンド ラインに移動して certmgr.msc を実行します)。

2. 「信頼されたルート証明機関」=>「証明書」を選択します。

3. 右側に証明書のリストを表示します。 CNNIC 証明書がすでに存在する場合は、手順 7 に進みます。

4. まず、「このページ」にアクセスして、既製の CNNIC 証明書をダウンロードします (解凍する必要があります)。

5. 「信頼されたルート証明機関」を右クリック => 「証明書」。右クリックメニューで、「すべてのタスク」=>「インポート」をクリックします。

6. インポート ウィザードが表示されます。手順に従って、上記の CNNIC 証明書を証明書リストにインポートします。

7. CNNIC 証明書を選択し、右クリックします。右クリックメニューの「プロパティ」をクリックします。

8. ポップアップ表示されるプロパティ ダイアログ ボックスで、「この証明書のすべての目的を無効にする」を選択して確認します。

9. 最後に、安全のために、これら 3 つの証明書を「信頼されていない証明書」にインポートします (方法は上記と同様です)。

注意: 上記の操作は現在のユーザーに対してのみ有効です。 Windows システムによく使用するユーザー アカウントが複数ある場合は、各ユーザーに対して上記の設定を実行する必要があります。

◇Apple Mac OS 証明書のクリーンアップ（Safari、Chrome に適用）

Mac OS の Safari または Chrome ブラウザの場合、次の手順を実行する必要があります。「ユーティリティ」=>「キーチェーン アクセス」=>「システム ルート証明書」=>「証明書」に移動し、CNNIC 証明書を見つけてダブルクリックし、「信頼しない」に変更します。

注: インターフェースが外国語の場合でも、操作方法はほぼ同じです。これ以上は言いません。

◇Linux 証明書のクリーンアップ (Chrome および Safari に適用)

Debian および Ubuntu システムの場合、管理者権限で次の操作を実行します。

方法 1: コマンド dpkg-reconfigure ca-certificates を実行します。グラフィカル インターフェイスが表示されます。CNNIC 証明書の選択を解除して確認します。

方法 2: /etc/ca-certificates.conf ファイルを編集し、CNNIC 証明書に対応する行を削除またはコメント アウトします。次に、update-ca-certificates コマンドを使用して有効にします。

注: 他の Linux ディストリビューションでも同様の操作があるため、詳細には触れません。

◇Firefoxの証明書をクリーンアップする

オペレーティング システムに関係なく、Firefox ブラウザ (その証明書システムはオペレーティング システムに依存しません) を使用している場合は、次の手順を実行する必要があります。

1. メニュー「ツール」=>「オプション」からオプションダイアログボックスを開きます。

2. 「詳細」セクションに切り替えて、「暗号化」タブを選択し、「証明書の表示」ボタンをクリックします。

3. [証明書] ダイアログ ボックスで、[証明機関] に切り替えます。

4. 証明書リストはアルファベット順になっています。 CNNIC で始まるすべての名前を削除します。

注意: 証明書が Firefox に付属している場合は、証明書を削除した後でも、次にダイアログ ボックスを開いたときに証明書がまだ残っています。しかし、それは問題ではありません。すべての「信頼設定」がクリアされています。

◇Operaの証明書をクリーンアップする

オペレーティング システムに関係なく、Opera ブラウザ (その証明書システムはオペレーティング システムに依存しません) を使用している場合は、次の手順を実行する必要があります。

1. メニュー「ツール」=>「設定」から設定ダイアログボックスを開きます。

2. 「詳細設定」タブに切り替えて、左側の「セキュリティ」を選択します。

3. 「証明書の管理」ボタンをクリックすると、証明書のダイアログ ボックスがポップアップ表示されます。 「証明機関」タブに切り替えます。

4. CNNIC証明書を見つけて選択し、「表示」ボタンをクリックし、証明書のプロパティダイアログボックスで「この証明書を使用してWebサイトへの接続を許可する」のチェックを外します。

注: Opera 10.10 をベースに操作しています。新しいバージョンのインターフェースは若干異なる可能性があります。

★ポータルがクリーンアップされたことを確認するには？

安全のため、上記のクリア作業を完了した後、ブラウザを使用して Lao Liuruang の Web サイト (アドレスは https://www.cnnic.cn) にアクセスする必要があります。HTTPS プロトコルを使用することを忘れないでください。

ブラウザがサイトの証明書に問題があると報告した場合、おめでとうございます。問題は解決しました :-)

ウェブサイトのページが正常に開いた場合は、上記の操作に問題がないか再度確認する必要があります。

起こりうる副作用

国内の一部ウェブサイトはCNNIC証明書を使い始めています。知られているのは163メールボックスだけです（私はNetEaseを本当に嫌っています）。でも心配しないでください。証明書を削除すると、上記の Web サイトにアクセスするときにブラウザに証明書のセキュリティ警告が表示されます。セキュリティ例外を追加するだけです。

著者: Programming Thoughts、オリジナルリンク。 （注：国内ネットワーク環境問題の影響により、オリジナルコンテンツの一部が削除されています。）

元のタイトル: CNNIC 証明書をクリアする方法

キーワード: