1. Bitvise Tunnelier 使用教程（作者：Ratoo）
2. Tunnelier满塞！（作者：est）
3. 建议用Tunnelier代替MyEnTunnel翻墙（作者：lenmore）

Permalink | Leave a comment  »

今早发现gfwlist讨论组也在议论此事，而且是由Autoproxy的作者WCM最先发起。回想zuola的那篇网志，我觉得这事似乎值得重视，即便我几乎不使用国内需要安全证书的服务（删除CNNIC相关证书不影响使用招商网上银行），我也有备无患地按照教程将CNNIC的相关证书一一删去。我将WCM的原文转载如下，我无意制造恐慌，事实如此罢了，你完全可以闲麻烦skip之，但我觉得你也有知晓此事始末的权力。

对于早已知道这件事情的同学，不好意思，打扰了。
=====以下为转载=====
标题：CNNIC CA：最最最严重安全警告！
原文链接：http://autoproxy.org/zh-CN/node/66
作者：WCM - http://twitter.com/WCM
正文：各位，虽然此事与 AutoProxy 无关，但它对所有（也包括
AutoProxy）用户都是一个非常严重的安全威胁。我，WCM，AutoProxy 作者，以个人名誉强烈建议您认真阅读并采取措施。

===背景知识===

网上传输的任何信息都有可能被恶意截获。尽管如此，我们仍然在网上保存着很多重要的资料，比如私人邮件、银行交易。这是因为，有一个叫着
SSL/TLS/HTTPS 的东西在保障我们的信息安全，它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感，打算使用 SSL/TLS/HTTPS 加密，必须先向有 CA (Certificate Authority)
权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核，值得信赖的。

===发生了什么事===

最近，CNNIC——对，就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC
(中国互联网络信息中心)，它——偷偷地获得了 CA 权限！在所有中文用户被隐瞒的情况下！

===意味着什么===

意味着 CNNIC 可以随意造一个假的证书给任何网站，替换网站真正的证书，从而盗取我们的任何资料！

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的，浏览器会告诉我们真相；现在，因为 CNNIC 有了 CA
权限，浏览器对它的证书完全信任，不会给我们任何警告，即使是造假的证书！

你信任 CNNIC (中国互联网络信息中心) 吗？你相信它有了权限，会安守本分，不会偷偷地干坏事吗？
我对此有3个疑问：

1. 某 party 对 GMail 兴趣浓厚，GFW 苦练 SSL 内功多年，无大进展。如今有了 CA，若 GFW 令下，CNNIC 敢不从否？
2. CNNIC 当年利用所谓官方头衔，制流氓软件祸害网民。如今有了 CA，如何相信它不会故伎重演？
3. 为了得到指定网站的合法证书，其它流氓公司抛出钱权交易，面对诱惑，CNNIC 是否有足够的职业操守？

===影响范围===

基本上所有浏览器的所有用户均受影响！

===行动第一步：立即安全防御===

在此只介绍 Firefox 浏览器的防御方法，其它浏览器的用户请自行 Google，原理类似。

* 菜单栏：工具/编辑->首选项->高级->加密->查看证书->证书机构 (Authorites)
* 这是一个很长的列表，按照字母顺序，你应该能找到一个叫着 "CNNIC ROOT" 的记录，就是这个东西，告诉 Firefox，我们不信任它！
* 选中 CNNIC ROOT，点击下面的“编辑”按钮，弹出一个框，应该有3个选项，把所有选项的勾都去掉！保存。
* 还没有完，狡兔有三窟。
* 接着往下找，有一个叫着 Entrust.net 的组，这个组里应该有一个 "CNNIC SSL" (如果没有，访问一下 这个网站
https://tns-fsverify.cnnic.cn/ 就有了)
* 别急着下手，这回情况不一样，这个证书是 Entrust 签名的。我们信任 Entrust，Entrust 说它信任
CNNIC，所以我们就被迫信任 CNNIC SSL 了。找到 "Entrust.net Secure Server
Certification Authority" 这一条，同上面一样，把3个选项的勾都去掉，保存（提示：取消了对 Entrust
的信任以后，可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名，随便试了一下，没找到例子）。
* 最后，让我们验证一下。重启 Firefox，打开 这个 https://tns-fsverify.cnnic.cn/ 和 这个
https://www.enum.cn/ 网站，如果Firefox 对这两个网站都给出了安全警告，而非正常浏览，恭喜，您已经摆脱了
CNNIC CA 的安全威胁！

===行动第二步：治标还需治本===

几天前听到这个消息的时候，我简单地、轻蔑地将 CNNIC
删除了事。可是这个周末，我忽然觉得这样很不好。因为只要它存在，始终会有大部分的用户受到威胁。和写 AutoProxy
时同样的想法：如果大部分人都处于安全威胁当中，一个人苟且偷安又有什么意义？如果不能将自由与安全的门槛降低一点点，所谓的技术又有什么好侥幸的？

所以我呼吁大家，贡献一点时间和知识，团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动，只有我们社区。

首先推荐的是 Firefox，作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766
https://bugzilla.mozilla.org/show_bug.cgi?id=476766 记录了事件的全过程。Bug
542689 https://bugzilla.mozilla.org/show_bug.cgi?id=542689 和
Mozilla.dev.security.policy
http://groups.google.com/group/mozilla.dev.security.policy/browse_thread/thre...
进行着现在的讨论（注意，你可以把自己添加到 Bugzilla 的 CC List
以表达你对此事的关切。但是不要随便说一些不靠谱的话，免遭讨厌。强调政治、GFW
的之类的不管用，必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段，或者申请成功后的某些行为违反了 Mozilla 的 CA
政策；比如它的属性和过往行为表明它不会忠于自己的职责，而(帮助)做出 MITM 这种 CA 共愤的事情）。

其次是 Entrust，它说它信任，导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重
http://www.entrust.com/contact/index.htm ，因为它错误地信任了 CNNIC，大量用户不得不删除它的
CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信，因为此次事件我们不得不删除了 Entrust 的
CA，请求他们另选别家认证。如果反响强烈，势必给 Entrust 造成很大压力。

除此之外，来投个票吧！ https://spreadsheets.google.com/viewform?formkey=dGctTVY0Y3VxX3lrXzZoeG90WDFB...
结果统计 https://spreadsheets.google.com/pub?key=tg-MV4cuq_yk_6hxotX1AUw&output=html

最后，强烈建议大家，发现证书警告的时候最好直接关掉，不要轻易添加例外。证书的信任体系是一级依赖一级的，一不小心你可能就会连带信任一个不想信任的
CA。上面用于验证的两个网站，不妨定期（每周/每月）测一测，如果哪天你发现其中的任何一个网站没有证书警告，就要注意了！

各位：DNS 劫持已然成为常态，不要让 SSL 劫持再次普及！此事刚刚发布，尚有评议空间。待时间流逝，你我皆成温水中之青蛙！
=====以上为转载=====
相关链接：
苹果下的FIREFOX如何删除CNNIC的根证书 https://www.zuola.com/weblog/?p=1454
CNNIC，我不信任你！——从“受信任的根证书”里赶走CNNIC http://felixcat.net/2010/01/throw-out-cnnic/

Permalink | Leave a comment  »

一般翻墙，AB足矣。但如果用它们看Youtube，一是慢，二是很慢，三是把时间浪费在加载上很不值，四是容易让帐号提供者亏本，五是万一亏本没准就禁你帐号，多不好啊。

C，即Skydur，的优势是，配置简单，支持主流操作系统，支持主流浏览器，不限流量，有四台服务器供你不限次数切换，美国三台，英国一台，用美国的可高速加载Youtube。我这2M带宽用英国的看Youtube/Vimeo也能满负荷加载，爽，而且，理论上还能合法地申请并使用Spotify音乐服务，我没试过，如果你碰巧有富裕的邀请码，请发到 sshgfw@gmail.com，我试用一下，如果真能用，我再来告诉大家，又如果真像传说中那么好用，没准儿会组织一个“我要我要我也要邀请码”活动。

有意C选项者可发信（任意标题、正文）至 go@sshgfw.com 获取详情。

P.S. Q: 你不是说没重要事就不更新的嘛！ A: 苹果要宣布新品了，兴奋得没事干；Skydur这玩意儿太好用了。

Permalink | Leave a comment  »

不过，免费主义者请绕行，因为里面的法子是需要付费的——每年30元或50元人民币。

接下来呢，貌似没什么值得更新的了，详细的图文教程已经有了，专业的帐号提供者也有了，简单直觉的传播与获取方式现在也有了，我能做的也就这么多了，剩下的就靠大家口口相传了。说心里话，我不想弄得太急功近利，如果影响到帐号提供者，会内疚死的。所以，就到这吧。

谢谢各位的关注与支持，如果没什么极其重要的事情，这里就不会再有更新了。

Permalink | Leave a comment  »

点此下载PDF宣传册

如果你没有阅读PDF的软件，可以下载体积小巧的Foxit Reader绿色软件。

欢迎各位以附件的形式将这一PDF宣传册Email给你的朋友。

至此，ssh-D方案既有稳定的帐号提供者也有相应的教程，理论上讲，你已拥有忘记GFW的选择。

下一步：

• 接收购买者的实际使用反馈：反馈渠道包括Twitter/Email和这的评论。
• VPN

Permalink | Leave a comment  »

幸运的是，订阅了RSS或@sshgfw的同学没准会有那么一丁点的概率看到这条信息：全新的sshgfw正在诞生。

请允许我用不到140个汉字来描述sshgfw如何全新：它是开源的，包括所有的帮助文档；它是中立的，不参与任何交易，最大化地收集各方反馈；它是安全的，只有口碑良好的同学才能成为SSH或VPN帐号的提供者；以上三点是sshgfw今后行事的核心原则；同时不变的是，它仍然相信借助经济手段可以共同赎回本属于我们的互联网。

以前的sshgfw

自2009年3月24日起，sshgfw（原fuckGFW）总共直接帮助近1000名申请者，免费发放超过5000枚SSH帐号。2009年7月23日晚，因为SSH帐号的过度滥用，被空间商Dreamhost叫停并处警告。来自Dreamhost的警告信：

• 根据开源原则，sshgfw会团结社区共同创建、维护帮助文档，内容将不仅涉及ssh-D，还将包括VPN。
• 根据中立原则，sshgfw不再出售SSH帐号，原先用户不受影响可继续使用，续费由300元人民币下调为100元人民币每人每年，待遇相同。
• 根据安全原则，sshgfw将寻找口碑良好的SSH帐号和VPN帐号提供者，为他们提供宣传平台的同时，监督他们是否按照承诺行事。

1. 不喜欢折腾的人。愿意花钱搞定GFW。省心，注重上网体验。它们是sshgfw的主要服务人群。
2. 喜欢折腾的人。sshgfw将陆续提供详尽的SSH和VPN服务器搭建文档，有钱有精力的同学可以尽情DIY。享受折腾带来的乐趣。

• sshgfw不是翻墙软件，它仅仅是一个搭建在无法正常访问的优秀网络服务上的网站而已。
• sshgfw不是中介，它曾经出售过帐号，但现在不再参与任何交易了，你可以将其视为一台过滤器。
• sshgfw不是封闭的过滤器，它听取来自reply@sshgfw的意见，它关注这里的评论，同时它还有一个任何人都可以联系得到的Email：
  
• sshgfw不是讨论GFW的地方，它存在的终极目标是忘记GFW。

1. sshgfw.com - 从已被封了的tumblr转移到同样被封了的posterous。推荐Email订阅这里，更新不会频繁，因此不必担心挤爆收件箱。
2. help.sshgfw.com - 从还未被封的dropbox转移到已被封了的google sites。
3. PDF - 分布式传播sshgfw的帮助文档，当然现在还未创建。

1. 寻找口碑良好的SSH和VPN帐号提供者。
2. 逐步完善相应的帮助文档。
3. 在@sshgfw、这里的评论和Email有选择地回复大家的提问。
   

Permalink | Leave a comment  »