因为不信任，所以不简单

下周开始，Google 将启用加密搜索。以后大家在搜索时，记得在网址前面加上 https://。如果嫌烦，不妨自己修改浏览器里的搜索引擎表达式（至少 Chrome 是允许自由添加的）。具体包含 https 的 google 搜索表达式我现在还给不出，因为它现在还没有启用嘛。

我等屁民啃腚遭遇过页面被重置(ERR_CONNECTION_RESET)，那就是说你访问的页面包含敏感词，被村长监听到以后立即掐线了。有时你可能很冤 —— 老子不过只想搜索一下“胡萝卜”的几种吃法或是“学习”方程的几种解法，怎么就敏感了呢？对不起，g.cn 的意思就是说这个国家里处处都是 G 点。

言归正传，如何不被村长监听？像 DNSSEC 可以给地址解析认证加密一样，https 可以给超文本传输认证加密，从此你访问的网站服务器端到你的网卡间数据不再是明文。其实严格地说，大多数 https 目前作用只是认证(Authentication)而不是加密(Encryption) —— 你有服务器证书（含公钥），服务器没有你的公钥，所以你只可能保证所得的内容一定来自你信任的那台服务器，但不能保证它传过来的内容除你之外没人解得开。

一步一步来，信任先从确认对方身份做起。两年前我在团队管理协调会上花了半个多小时作科普，给诸位领导分析部门成员间的（不）信任问题。人家天才是给生活中的问题建模，让计算机来解决；而我这呆子却是反过来用计算机的概念解释生活中的现象。记得当时我讲了 CA ，讲了 PKI ，目的只在说明信任的单向传递：我信任你，你信任他，所以我也信任他。但信任的每一环上都有风险：我可能错信了你，你也可能错信了他。在信任树上，最靠近根的那些节点是最关键的，因为断裂的链条越靠前影响范围越大。（不知道领导们听明白没有我对他们的期许）

比如我想去上一个银行网站，为了防止被钓鱼，我查看了该网站的证书。可倒霉的是给这家网站颁发证书的机构本身就是个流氓，它和骗子根本就是一伙儿。就像 CCTV 和卖脑白金的屎欲蛀。我该怎么办？我不能责怪证书机构和 CCTV 为啥纵容骗子流氓，只能检讨自己当初就不应该相信“托儿”。

趁灾难还没有发生，或者趁损失还可以补救，先把“托儿”踢出电脑。前人的方法我就不赘述了，取消信任 CNNIC　根证书的操作步骤请见：这里、这里还有这里。至于为啥不信任 CNNIC 请自行搜索三年前它对奇虎360胜诉的那场官司。

在一个“官方说法”“主流媒体”不值得信任的国度，在“砖家叫兽”“有关部门”成为网民笑料，毒奶粉毒疫苗地沟油满天飞的年代，朋友们好自为之吧。诚然没人能永远活着，我只希望不要死于愚蠢。相信你一次那叫善良；被你骗过一次还相信你那叫愚蠢，这两者是有差别的。