推荐用Tunnelier替代MyEnTunnel
P.S. 我们错怪Dreamhost了~
P.S. 用ssh-D看Youtube视频不再卡壳,不知道这对销售SSH/VPN帐号的人们来说是喜是忧。
一劳永逸的翻墙方式 (ssh-D & VPN)
向 go@sshgfw.com 发送任意标题、正文的邮件,获取 ssh-D 帐号购买方式。
关于CNNIC证书的安全隐患
关于CNNIC证书的安全隐患,我是从zuola的网络日志那第一次听说。不过没有重视起来——没按照他的建议删除CNNIC的相关证书。 今早发现gfwlist讨论组也在议论此事,而且是由Autoproxy的作者WCM最先发起。回想zuola的那篇网志,我觉得这事似乎值得重视,即便我几乎不使用国内需要安全证书的服务(删除CNNIC相关证书不影响使用招商网上银行),我也有备无患地按照教程将CNNIC的相关证书一一删去。我将WCM的原文转载如下,我无意制造恐慌,事实如此罢了,你完全可以闲麻烦skip之,但我觉得你也有知晓此事始末的权力。 对于早已知道这件事情的同学,不好意思,打扰了。
=====以下为转载=====
标题:CNNIC CA:最最最严重安全警告!
原文链接:http://autoproxy.org/zh-CN/node/66
作者:WCM - http://twitter.com/WCM
正文:各位,虽然此事与 AutoProxy 无关,但它对所有(也包括
AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。 ===背景知识=== 网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着
SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。 如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority)
权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。 ===发生了什么事=== 最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC
(中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下! ===意味着什么=== 意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料! 这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA
权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书! 你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问: 1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守? ===影响范围=== 基本上所有浏览器的所有用户均受影响! ===行动第一步:立即安全防御=== 在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。 * 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构 (Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站
https://tns-fsverify.cnnic.cn/ 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任
CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server
Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust
的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 https://tns-fsverify.cnnic.cn/ 和 这个
https://www.enum.cn/ 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了
CNNIC CA 的安全威胁! ===行动第二步:治标还需治本=== 几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC
删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy
时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的? 所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。 首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766
https://bugzilla.mozilla.org/show_bug.cgi?id=476766 记录了事件的全过程。Bug
542689 https://bugzilla.mozilla.org/show_bug.cgi?id=542689 和
Mozilla.dev.security.policy
http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/17be3bd7e0b33e8c/d69aea4eb35c5ee3
进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List
以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW
的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA
政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。 其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重
http://www.entrust.com/contact/index.htm ,因为它错误地信任了 CNNIC,大量用户不得不删除它的
CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的
CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。 除此之外,来投个票吧! https://spreadsheets.google.com/viewform?formkey=dGctTVY0Y3VxX3lrXzZoeG90WDFBVXc6MA
结果统计 https://spreadsheets.google.com/pub?key=tg-MV4cuq_yk_6hxotX1AUw&output=html 最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的
CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了! 各位:DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!
=====以上为转载=====
相关链接:
苹果下的FIREFOX如何删除CNNIC的根证书 https://www.zuola.com/weblog/?p=1454
CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC http://felixcat.net/2010/01/throw-out-cnnic/
=====以下为转载=====
标题:CNNIC CA:最最最严重安全警告!
原文链接:http://autoproxy.org/zh-CN/node/66
作者:WCM - http://twitter.com/WCM
正文:各位,虽然此事与 AutoProxy 无关,但它对所有(也包括
AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。 ===背景知识=== 网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着
SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。 如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority)
权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。 ===发生了什么事=== 最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC
(中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下! ===意味着什么=== 意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料! 这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA
权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书! 你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问: 1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守? ===影响范围=== 基本上所有浏览器的所有用户均受影响! ===行动第一步:立即安全防御=== 在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。 * 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构 (Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 "CNNIC ROOT" 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 "CNNIC SSL" (如果没有,访问一下 这个网站
https://tns-fsverify.cnnic.cn/ 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任
CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server
Certification Authority" 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust
的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 https://tns-fsverify.cnnic.cn/ 和 这个
https://www.enum.cn/ 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了
CNNIC CA 的安全威胁! ===行动第二步:治标还需治本=== 几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC
删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy
时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的? 所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。 首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766
https://bugzilla.mozilla.org/show_bug.cgi?id=476766 记录了事件的全过程。Bug
542689 https://bugzilla.mozilla.org/show_bug.cgi?id=542689 和
Mozilla.dev.security.policy
http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thread/17be3bd7e0b33e8c/d69aea4eb35c5ee3
进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List
以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW
的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA
政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。 其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重
http://www.entrust.com/contact/index.htm ,因为它错误地信任了 CNNIC,大量用户不得不删除它的
CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的
CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。 除此之外,来投个票吧! https://spreadsheets.google.com/viewform?formkey=dGctTVY0Y3VxX3lrXzZoeG90WDFBVXc6MA
结果统计 https://spreadsheets.google.com/pub?key=tg-MV4cuq_yk_6hxotX1AUw&output=html 最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的
CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了! 各位:DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!
=====以上为转载=====
相关链接:
苹果下的FIREFOX如何删除CNNIC的根证书 https://www.zuola.com/weblog/?p=1454
CNNIC,我不信任你!——从“受信任的根证书”里赶走CNNIC http://felixcat.net/2010/01/throw-out-cnnic/
C选项:Skydur - 观看Youtube的理想选择
它相比AB方案,要贵一些,一个季度116元,一年425元。一般翻墙,AB足矣。但如果用它们看Youtube,一是慢,二是很慢,三是把时间浪费在加载上很不值,四是容易让帐号提供者亏本,五是万一亏本没准就禁你帐号,多不好啊。C,即Skydur,的优势是,配置简单,支持主流操作系统,支持主流浏览器,不限流量,有四台服务器供你不限次数切换,美国三台,英国一台,用美国的可高速加载Youtube。我这2M带宽用英国的看Youtube/Vimeo也能满负荷加载,爽,而且,理论上还能合法地申请并使用Spotify音乐服务,我没试过,如果你碰巧有富裕的邀请码,请发到 sshgfw@gmail.com,我试用一下,如果真能用,我再来告诉大家,又如果真像传说中那么好用,没准儿会组织一个“我要我要我也要邀请码”活动。 有意C选项者可发信(任意标题、正文)至 go@sshgfw.com 获取详情。P.S. Q: 你不是说没重要事就不更新的嘛! A: 苹果要宣布新品了,兴奋得没事干;Skydur这玩意儿太好用了。
翻墙,从发这封邮件开始
发送邮件(任意标题、正文)至 go@sshgfw.com,你会立即收到回复,整个过程就这么简单。不过,免费主义者请绕行,因为里面的法子是需要付费的——每年30元或50元人民币。接下来呢,貌似没什么值得更新的了,详细的图文教程已经有了,专业的帐号提供者也有了,简单直觉的传播与获取方式现在也有了,我能做的也就这么多了,剩下的就靠大家口口相传了。说心里话,我不想弄得太急功近利,如果影响到帐号提供者,会内疚死的。所以,就到这吧。 谢谢各位的关注与支持,如果没什么极其重要的事情,这里就不会再有更新了。
ssh-D 宣传册
如上图所示,可以查看PDF宣传册中的链接了解详情。 点此下载PDF宣传册如果你没有阅读PDF的软件,可以下载体积小巧的Foxit Reader绿色软件。欢迎各位以附件的形式将这一PDF宣传册Email给你的朋友。 至此,ssh-D方案既有稳定的帐号提供者也有相应的教程,理论上讲,你已拥有忘记GFW的选择。下一步:
- 接收购买者的实际使用反馈:反馈渠道包括Twitter/Email和这的评论。
- VPN
全新的sshgfw:开源、中立、安全
距离上一次更新,已经有4个月了,我相信绝大部分同学已经忘记了sshgfw。
幸运的是,订阅了RSS或@sshgfw的同学没准会有那么一丁点的概率看到这条信息:全新的sshgfw正在诞生。请允许我用不到140个汉字来描述sshgfw如何全新:它是开源的,包括所有的帮助文档;它是中立的,不参与任何交易,最大化地收集各方反馈;它是安全的,只有口碑良好的同学才能成为SSH或VPN帐号的提供者;以上三点是sshgfw今后行事的核心原则;同时不变的是,它仍然相信借助经济手段可以共同赎回本属于我们的互联网。 以前的sshgfw自2009年3月24日起,sshgfw(原fuckGFW)总共直接帮助近1000名申请者,免费发放超过5000枚SSH帐号。2009年7月23日晚,因为SSH帐号的过度滥用,被空间商Dreamhost叫停并处警告。来自Dreamhost的警告信:
2009年7月27日,sshgfw转换战略,有偿提供限制10人的SSH服务器(每人每年300元人民币),同时发布跨平台(Windows/Mac OS X/Linux)跨浏览器(Firefox/IE8/Chrome/Safari)的ssh-D全面教程。
今后的sshgfw
2009年7月27日,sshgfw转换战略,有偿提供限制10人的SSH服务器(每人每年300元人民币),同时发布跨平台(Windows/Mac OS X/Linux)跨浏览器(Firefox/IE8/Chrome/Safari)的ssh-D全面教程。
今后的sshgfw
- 根据开源原则,sshgfw会团结社区共同创建、维护帮助文档,内容将不仅涉及ssh-D,还将包括VPN。
- 根据中立原则,sshgfw不再出售SSH帐号,原先用户不受影响可继续使用,续费由300元人民币下调为100元人民币每人每年,待遇相同。
- 根据安全原则,sshgfw将寻找口碑良好的SSH帐号和VPN帐号提供者,为他们提供宣传平台的同时,监督他们是否按照承诺行事。
- 不喜欢折腾的人。愿意花钱搞定GFW。省心,注重上网体验。它们是sshgfw的主要服务人群。
- 喜欢折腾的人。sshgfw将陆续提供详尽的SSH和VPN服务器搭建文档,有钱有精力的同学可以尽情DIY。享受折腾带来的乐趣。
- sshgfw不是翻墙软件,它仅仅是一个搭建在无法正常访问的优秀网络服务上的网站而已。
- sshgfw不是中介,它曾经出售过帐号,但现在不再参与任何交易了,你可以将其视为一台过滤器。
- sshgfw不是封闭的过滤器,它听取来自reply@sshgfw的意见,它关注这里的评论,同时它还有一个任何人都可以联系得到的Email:
- sshgfw不是讨论GFW的地方,它存在的终极目标是忘记GFW。
- sshgfw.com - 从已被封了的tumblr转移到同样被封了的posterous。推荐Email订阅这里,更新不会频繁,因此不必担心挤爆收件箱。
- help.sshgfw.com - 从还未被封的dropbox转移到已被封了的google sites。
- PDF - 分布式传播sshgfw的帮助文档,当然现在还未创建。
- 寻找口碑良好的SSH和VPN帐号提供者。
- 逐步完善相应的帮助文档。
- 在@sshgfw、这里的评论和Email有选择地回复大家的提问。
