Firefox和微软已将CNNIC添加到根证书列表

http://www.cnbeta.com/articles/103170.htm

小白提问：这样会有什么样的后果？
答: 很简单，这样CNNIC就可以根据指示，伪造gmail等SSL证书，进行中间人攻击，这样SSL里的密码、内容什么的……


从“受信任的根证书”里赶走CNNIC
http://felixcat.net/2010/01/throw-out-cnnic/


对于Windows Vista/Windows 7用户：
组策略(运行 -> gpedit.msc):
-> 计算机配置(Computer Configuration)
-> 管理模板(Administrative Templates)
-> 系统(System)
-> Internet 通信管理(Internet Communication Management)
-> Internet 通信设置(Internet Communication settings)
启用(Enable)  “关闭自动根证书更新(Turn off Automatic Root Certificates Update)”


Chrome:
在Chrome右上角的 "选项" 里，
-> 高级选项 -> 安全 -> 管理证书 -> 受信任的根证书颁发机构
选中　CNNIC Root，然后点导出，再导入到 "未受信任的发布者" 组里。