不安全不可信的CNNIC根證書刪除方法教程（110409更新）

刪除CNNIC根證書的上網安全教程，20110409更新完整教程，內容包括如何刪除（停用）系統或各種流行的瀏覽器中的CNNIC證書的方法，為了上網的安全和安全使用網上銀行帳號等，建議國內和國外用戶都刪除（停用）CNNIC證書。美博園鄭重推薦，這是目前最完整的刪除CNNIC根證書安全上網的教程。

2011-04-09 如何刪除（停用）系統或瀏覽器中的CNNIC證書V 1.32

下載地址1（訊6網路硬碟）：刪除CNNIC證書V 1.32（deletecnnic.zip）
下載地址2（Box網路硬碟）：刪除CNNIC證書V 1.32（deletecnnic.zip）
下載地址3（MediaFire網路硬碟）： 刪除CNNIC證書V 1.32（deletecnnic.zip）
下載地址4（Dropbox網路硬碟）： 刪除CNNIC證書V 1.32（deletecnnic.zip）

MD5、SHA1驗証值：
File: deletecnnic.zip
Size: 582,639
MD5: 89280F2EAFC2BA7EAD131CBA018581C5
SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5

----------- 2011-04-09 之前的文章描述 -----------------

一、為什麼要刪除（停用）系統中的CNNIC證書（CNNIC根級證書的危害性）

CNNIC就是中國網際網路信息中心，由於其強權流氓的作風，CNNIC 在中國網民中被稱為最大的流氓機構，Firefox和微軟在最近的根證書升級列表裡面將CNNIC列為｢受信任的根證書發行機構｣。這樣，以後通過https協議（即以前的安全保障ssl加密）訪問經過CNNIC頒發證書的網站將不會覺察到任何告警，用戶也不需要在像安裝某些軟體時導入根證書。因為一些人控制了國內網域服務，隨意封網，咔網，所以它們做一個假的網站對國內用戶攻擊就非常容易了，你的Firefox瀏覽器或IE瀏覽器訪問時不會跳出任何警告而直接讓你去登陸，而以前你的 Firefox會拒絕訪問的，也就是說以前有些人做不到的攻擊現在可以成為現實了。為避免受其害，下面給出解決方法。

二、如何刪除WINDOWS XP系統中的CNNIC證書

此方法適用於基於微軟CA目錄的瀏覽器,這類瀏覽器包括IE系列(微軟公司)、Chrome(谷歌公司)、Safari(蘋果公司)、Dragon(Comodo公司)

1、導入CNNIC證書到證書管理器中的信任區域並停用證書

① 下載CNNIC證書，解壓後,將會得到CNNIC證書的三個文件:
CNNICROOT.crt
CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt

② 打開證書管理器:滑鼠點擊 開始菜單--->運行
輸入certmgr.msc，—>確定 打開Windows的證書管理器。

③ 安裝證書到受信任的根證書頒發機構欄目中並停用證書

分別雙擊這三個文件按提示安裝,在安裝過程中,一直選中默認的設置:雙擊文件-->安裝證書-->下一步--->根據證書類型,自動選擇證書存儲區(下一步)--->完成。
如果在此完成過程中,系統提示警告提示,那麼請選擇肯定的答覆是(Y)

安裝後,CNNIC ROOT和Entrust.net Secure Server Certification Authority位於證書管理器中的在受信任的根證書頒發機構---證書，而CNNICSSL在中級證書頒發機構---證書，我們現在停用此三個證書文件,方法是:分別滑鼠右鍵點擊條目,然後找到屬性菜單打開,選擇停用這個證書的所有目的(I)

2、安裝證書到不信任的證書區域:

分別雙擊這三個文件按提示安裝,在安裝過程中,一直選中默認的設置:
雙擊文件-->安裝證書-->下一步-->將所有的證書放到下列存儲區域-->瀏覽-->不信任的證書--->確定.
如果在此完成過程中,系統提示警告提示,那麼請選擇肯定的答覆是(Y)

3、其他說明

◆ 對於微軟的CA目錄的證書修改，大家容易產生歧義。或許要問到為什麼要導入到信任區域，其實這個過程是配合第二步的停用此證書來使用的，因為如果信任區域中如果沒有CNNIC證書的話，那麼在網路活動中，在訪問加密站點時，有可能系統會自動更新證書，使CNNIC證書加入系統中，並激活。如果在信任區域中有此證書但是處於停用狀態的話，就不會自動更新。系統會知道你是不信任此證書的。

◆ 此方法適合於採用微軟CA目錄的瀏覽器,比如:IE、Chrome、Safari、Dragon

三、如何刪除Firefox 3.6中的CNNIC證書

打開Firefox ，點擊工具—>選項—>高級—>加密—>查看證書—>證書機構
找到CNNIC和CNNICSSL項，刪除即可。然後再找到Entrust.net Secure Server Certification Authority項刪除，注意此項可能有二個，刪除序列號37:4A:D2:43的就可以了，查看序列號的方法是選中此項目後，點擊｢查看(V)｣

特別說明:

1. 默認的Firefox的證書中可能沒有CNNIC SSL 所以為避免其訪問加密站點時自動安裝進來，所以可以先行導入，導入方法是在Firefox的證書管理器中，按導入（M）按鈕後，先取CNNICSSL.CRT，按提示操作

2.在Firefox里對自帶根證書執行｢刪除｣操作命令，就相當於是禁用其所有目的，並不會將其刪除.驗証方法是：比如點擊選中CNNIC ROOT 後，再點擊｢編輯｣按鈕，可以查看到其信任設置框已取消了.

四、如何在opera瀏覽器中刪除CNNIC證書

在Opera瀏覽器中也需要事先導入此三個證書,方法是啟動Opera瀏覽器後,點工具—>首選項—>高級—>安全性—>管理證書—>頒發機構—>導入— >需要分別選擇CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt—>安裝，Entrust.net Secure Server Certification Authority安裝後顯示為Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的證書也是在Opera中的證書管理器—>中間證書認證中導入安裝的。

現在我們開始在Opera中停用此證書:

依次點擊工具—>首選項—>高級—>安全性—>管理證書—>證書頒發機構（或中間證書認證）—>分別雙擊三個證書—>取消｢允許連接到使用此證書的網站｣ —>確定。

五、為Mac的Safari屏蔽CNNIC根證書

CNNIC也作為Mac的系統根證書存在,我們可以把它設置為｢不信任｣。那麼當你用Safari打開使用CNNIC簽發的CA證書的網站時，同樣會有提示。
具體方法如下:
1、打開｢鑰匙串｣，並且在左側面板找到｢系統根證書｣，然後在右側面板找到｢CNNIC｣。
2、然後雙擊查看證書，在最上面有｢信任｣項目，點左邊的三角將其打開。然後按照下圖將證書設置為｢永不信任｣
3、然後會讓你輸入用戶名和密碼。輸入後確定。這樣，CNNIC就永遠不會被信任了。

六、結果測試
一般按教程步驟操作正確的話，應該就沒有問題了。

七、關於停用CNNIC證書的瀏覽器在線更新問題
請注意，所有停用CNNIC證書的瀏覽器，請繼續保持其在線更新的狀態，以保證瀏覽器處於最安全的狀態，瀏覽器的在線自動更新並不影響已停用的CNNIC證書，CNNIC證書的停用狀態仍然有效。

八、關於CNNIC根級證書三個證書存在狀態的說明
CNNIC的根級證書一共有三個：分別是

CNNIC ROOT
CNNIC SSL
Entrust.net Secure Server Certification Authority（序列號37:4A:D2:43）

這三個證書文件在某些系統或是瀏覽器中並不一定會同時存在的，但是，在任何一個情況下，如果只存在其中的任意一個或是任意二個，那麼都得按本文所陳述的方法處理。

九、關於部分銀行網站使用CNNIC簽名問題
對安全性要求較高的用戶可以使用停用了CNNIC證書的瀏覽器來瀏覽海外網站，當不得不用CNNIC的根證書時，（因為國內的一些銀行網站是使用了CNNIC證書的，但不建議在破網的系統里使用網上銀行），可以換用其他沒有停用CNNIC證書的瀏覽器。

對於以上幾點論述能熟練操作者，下載證書

下載：CNNIC證書下載