我刚刚查看了我的证书存储区,发现一堆根 CA 看起来有点可疑;具体来说,有很多:
- 全部大写
- 使用外语/文本
- 保质期极长
- 包括所有可能的证书用途
我坚信其中有些是坏的(中级 CA列表看起来很干净,只有根 CA列表看起来很糟糕。)但是,存储中的证书足够多,因此调查每个证书都是一项真正的苦差事。(我在事件日志中看到 Windows 已经超过两周没有自动更新受信任的第三方根列表了。)
是否有人知道如何验证证书并剔除坏证书(或者至少手动触发更新)?
答案1
您可以通过运行来快速找出最初未包含的内容信号检查 sigcheck.exe -tv *,它将您本地计算机中的根 CA 与从 Microsoft 下载的列表进行比较。然后输出差异。那些不是来自 Microsoft 的证书一定是您自己或某个软件(即用于 ssl 检查的防病毒软件)引入的。在我的情况下,只有一个我不认识并立即禁用它。
答案2
你可以看看Debian 的证书列表,并剔除那些不存在的;然后应用最新的Microsoft CA 更新并添加您手动安装的。但正如 Debian 所说:
请注意,此包中包含的证书颁发机构不会以任何方式接受可信度和 RFC 3647 合规性审核,评估这些证书的全部责任由本地系统管理员承担。