谷歌正在删除中国互联网络信息中心作为受信任的根。
我想确保我的证书存储中没有它们。所以我检查了证书管理器,并寻找它们。它们不在我的:
- 受信任的根证书颁发机构,也不
- 第三方根证书颁发机构
然后我浏览他们的网站
然后我浏览https://www.cnnic.cn/,以确认他们的证书是无效。虽然通常会有关于 css 和图像不安全的警告(以及关于使用弱加密的警告),但证书本身是有效的!:
所以我决定查看证书,这样我就可以看到它的认证链。当然,它们必须链接到我的计算机的受信任根做认为有效。
但查看证书的行为本身原因将其添加到我的受信任的根存储中:
我相当肯定他们不会那样即时攻击 Chrome。那么,这个证书怎么会在未经我许可的情况下出现在我的受信任根列表中呢?
这也引出了一个更大的问题:
- 如何防止未经我的许可将受信任的根证书添加到我的受信任的根证书列表中
- 如何在本地撤销或“取消信任”证书
奖金聊天
中国互联网络信息中心
- 主题:CNNIC 根目录
- 发行人: CNNIC 根目录(当然是自签名的)
- 有效期从:2007 年 4 月 16 日星期一上午 3:09:14
- 有效:2027 年 4 月 16 日星期五上午 3:09:14
- 指纹(沙):
8b af 4c 9b 1d f0 2a 92 f7 da 12 8e b9 1b ac f4 98 60 4b 6f
答案1
您只需将其移至“不受信任的证书”即可。如果 Microsoft 将根证书列入黑名单,他们所做的就是如此,尽管他们会在更高级别上执行此操作,并且如果他们这样做,将会影响所有用户。
这仅适用于尊重操作系统证书存储的浏览器。由于 Firefox 使用自己的证书存储,因此您必须向 Firefox 表明您不再信任相关的根证书。
如果您想要查看计算机的证书存储,请执行以下操作,以了解所有用户证书存储的起点。
- 开始 > 在运行提示中输入 mmc
- 这将启动 Microsoft 管理控制台。
- 选择文件 > 添加/删除管理单元
- 选择证书 > 添加
- 选择计算机帐户
- 选择本地计算机
- 选择“完成”和“确定”
看起来您需要从用户的证书存储中“导出”证书并将其导入到计算机的证书存储中,然后将其简单地放在“不受信任的证书”中,这会导致计算机本身上的所有用户都撤销该证书。
在域上执行的操作会略有不同,但适用相同的原则。