問:CNNIC的電子根證書,一直被不少網絡保安專家視為心腹大患,因為黑客利用CNNIC核發的根證書進行中間人攻擊。但iOS並不容許用戶自行移除根證書,令不少人感到相當不安。iOS 9推出後,到底有沒有解決CNNIC證書問題?iPad和iPhone用家可以免受CNNIC證書的威脅嗎?
李建軍:根據蘋果公布的iOS 9信任根證書清單,已經將CNNIC的根證書剔除了信任名單外,並且將懷疑涉及中間人攻擊,由CNNIC發出的證書列入受封鎖證書。倘若你完全不能夠信任CNNIC的證書,可以考慮將你手上的iOS裝置升級為iOS 9。
而iOS 7和iOS 8縱使作出了保安更新都好,都仍然視CNNIC發出的根證書是可信任證書,因此,除非你的設備無法支援iOS 9,否則都應儘快更新你的設備 為iOS 9,避免CNNIC證書的問題。而在流行的iOS設備中,只有iPhone 4完全不支援iOS 9,若然你仍然使用iPhone 4,就應該考慮升級為iPhone 4S或以上版本,並且升級為iOS 9以策安全。
問:那在Mac OS X上,情況又如何,是否需要以手動方式移除證書?
李建軍:很視乎你用的OS X版本,如果你用最新版的10.11,由於蘋果已經不支援CNNIC根證書,所以你的電腦很安全,不需要對信任證書清單作出任何更動。如果你使用10.10,只要你是最新版本,都不會信任CNNIC的根證書,所以都不用作出改動。但如果你用10.9的話,就仍然會信任CNNIC根證書,由於蘋果近年升級作業系統都是免費,除非你的Mac太舊,支援不了10.10或10.11,否則最有效直接的方法就是將作業系統升級為10.10或10.11,那就不會再受CNNIC根證書問題困擾,亦不會再受有問題由CNNIC核發的證書所攻擊,導致資料外洩等問題。
問:那是否代表Safari瀏覽器是安全,不再受CNNIC的問題影響?
李建軍:如果你用Mac或iOS,由於這兩個作業系統上的Safari瀏覽信任證書清單是緊跟作業系統,所以只要你升級了iOS或Mac OS X到不支援CNNIC證書的作業系統,那就問題不大。由於Windows版上的Safari己經太舊,亦可能有太多保安漏洞,所以不應再用Windows版的Safari,改用Firefox或Chrome等開放源碼瀏覽器可能更為安全可靠。
問:那現時還有什麼作業系統或瀏覽器有可能受到CNNIC根證書問題影響?
李建軍:現時仍然支援CNNIC根證書的瀏覽器以及作業系統,就只有微軟的Windows以及IE,因此,你有可能需要自行以手動方式,移除IE和Windows中對CNNIC的信任。而暫時為止,都未見有微軟會採取任何行動,終止對CNNIC根證書的任何支援。
問:現時Firefox、Chrome甚至蘋果的作業系統,都對CNNIC抱持不信任態度,其實會否影響到聽眾日常的網上生活,例如登入中國主要國有銀行的網站,或使用中國的網站服務等。
李建軍:其實中國主要的網站,都對CNNIC不甚捧場,像中國銀行、工商銀行、新浪郵箱等登入時所使用的證書,都由美國公司Symantec發出,而並非由CNNIC發出,所以現時各大作業系統和瀏覽器拒絕支援CNNIC根證書,對網民生活的影響已經相當低。因為中國大型國企都不用CNNIC根證書,那些使用CNNIC根證書的網站存在目的是什麼,相當值得懷疑。
只不過由於近日Symantec發出的部分證書都出現問題,谷歌已經採取步驟不信任一小部分於十年前甚至廿年前發出的根證書,所以於瀏覽個別網站時有機會受到影響,但中國的網站大多數採用新版本的Symantec根證書,所以實際上會受到影響的聽眾是相當之少。
0:00 / 0:00