WoSign/StartCom 根证书手动拉黑
WoSign/StartCom的CA证书已经先后被Mozilla和Google拉黑,不过浏览器的版本更新还有两三个月,系统补丁就更慢了,还是自己动手吧。
如果不了解什么是CA证书、这些CA证书的危害,可以看 编程随想 写的老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿 数字证书及 CA 的扫盲介绍等等相关文章。
Windows的CA禁用方法
※苏宁易购、1号店、当当网还有一小部分国内网站的HTTPS目前在用WoSign的证书,禁用后包括登录页在内的加密内容会不可用,是要继续用这些网站还是要避免中间人攻击的风险你自己选咯。
想彻底禁用相关CA就要把它们的根证书添加到黑名单,先下载
| ca.cer/startcom.crt | StartCom Certification Authority | startssl.com |
| ca-g2.cer/startcom_g2.crt | StartCom Certification Authority G2 | |
| ca-sha2.cer | StartCom Certification Authority | |
| certum.crt | Certum CA | wosign.com |
| WS_CA1_G2.crt | Certification Authority of WoSign G2 | |
| WS_CA1_NEW.crt | Certification Authority of WoSign | |
| WS_CA2_NEW.CRT | CA 沃通根证书 | |
| ws_ecc.crt | CA WoSign ECC Root | |
| All WoSign/StartCom Root CAs | OneDrive | |
WoSign加上被收购的StartCom目前一共有7张根证书,再加一张和WoSign G2交叉认证的Certum CA。
| ev-root.cer | China Internet Network Information Center EV Certificates Root | cnnic.cn |
| root.cer | CNNIC ROOT | |
| All CNNIC Root CAs | OneDrive | |
也不能忘了黑名单上的前辈CNNIC,好久不见又多了一张根证书,一起拉黑 😆 。
下载后双击打开
点安装证书
下一步—→将所有的证书放入下列存储—→浏览—→不信任的证书—→确定—→下一步—→完成
禁用完的证书再打开是这样的。
然后一样的操作把所有证书都导入不信任的证书。
重新打开浏览器访问那些网站的HTTPS链接,就能看到这样的提示。
Android的CA禁用方法
打开 设置—→安全—→证书安装
禁用这些证书
