一个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书，而MCS集团的中级证书则来自中国的CNNIC。

该证书冒充成受信任的谷歌的域名，被用于部署到网络防火墙中，用于劫持所有处于该防火墙后的HTTPS网络通信，而绕过浏览器警告。

简而言之，就是他们有了这个伪证书，你访问谷歌（当然是你科学上网）的内容会被窥探到。

窥探的方法就是中间人攻击。

所谓“中间人”攻击，指攻击者与通讯的两端分别建立独立联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，而且，攻击者能够阅读通讯双方的所有会话内容。

2013 年 1 月 26 日晚 GitHub 遭到 SSL 中间人攻击。

2014 年 10 月 2 日至 10 月 6 日，微软账号（login.live.com）在中国大陆地区遭受大面积SSL中间人攻击。

2014 年 10 月 19 日，国内 iCloud 服务器遭遇中间人攻击。

2014 年 10 月 20 日，雅虎在中国大陆地区再次受到 SSL 中间人攻击。

2015 年 1 月 21 日，微软证实其 Outlook 电子邮件服务被中国黑客作为攻击目标，遭到中间人攻击，微软用户仅在中国受到影响。

必须要说的是：上面这些中间人攻击只是对CNNIC的怀疑。前几天发生的这件事则是证据确凿的——

2015 年 3 月 23 日，谷歌发现 CNNIC 颁发了多个针对谷歌域名的用于中间人攻击的证书。

GitHub 上的 Revoke China Certificates 项目。这是最简单的方法。

或者请按下面的步骤手动吊销。

1. 运行Windows的证书管理器（到命令行执行certmgr.msc）。

2. 选中“受信任的根证书颁发机构”=>“证书”。

3. 查看右边的证书列表。如果里面已经有CNNIC的证书，直接跳到第7步。

4. 先翻墙到下面的链接下载现成的CNNIC证书（要解压缩出来）。

5. 鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。

6. 出现一个导入向导，根据先导一步步的提示，把上述CNNIC证书导入到证书列表中。

7. 选中CNNIC证书，点右键。在右键菜单中点“属性”。

8. 在跳出的属性对话框中，选中“停用这个证书的所有目的”，然后确定。

9. 最后，为了保险起见，再把这三个证书，导入到“不信任的证书”中（方法和上述类似）。

注：上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号，要对每一个用户进行上述设置。

请到“实用工具”=>“钥匙串访问”=>“系统根证书”=>“证书”，找到CNNIC的证书并双击，改为“永不信任”。

对于Debian和Ubuntu系统，以管理员权限进行如下操作：

方法1：运行命令：dpkg-reconfigure ca-certificates 会出现一个图形界面，把CNNIC证书不选，并确认。

方法2：编辑 /etc/ca-certificates.conf 文件，把CNNIC证书对应的行删除或注释掉。然后用命令 update-ca-certificates 使之生效。

注：对于其它Linux发行版本，也有类似操作。

不论是在哪个操作系统下，只要你用的是Firefox浏览器（它的证书体系独立于操作系统的），则需要执行如下步骤：

1. 从菜单“工具”=>“选项” ，打开选项对话框

2. 切换到“高级”部分，选中“加密”标签页，点“查看证书”按钮。

3. 在证书对话框中，切换到“证书机构”。

4. 里面的证书列表是按字母排序的。把CNNIC打头的都删除。

注：如果某个证书是Firefox自带的，则删除之后，下次再打开该对话框，此证书还在。不过不要紧，它的所有“信任设置”，都已经被清空了。

设置 - 安全 - 受信任的凭据(显示受信任的CA证书)

点击进入需要禁用的证书并下拉到最下面，点击 禁用 按钮即可。

操作完毕建议清空所有浏览器数据和系统缓存，并重启网络连接。

iOS 没有任何官方提供的方法禁用自带的根证书，请放弃在 iOS 下禁用根证书的想法。