WoSign/StartCom的CA证书已经先后被Mozilla和Google拉黑，不过浏览器的版本更新还有两三个月，系统补丁就更慢了，还是自己动手吧。

---

如果不了解什么是CA证书、这些CA证书的危害，可以看 编程随想 写的老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿   数字证书及 CA 的扫盲介绍等等相关文章。

---

Windows的CA禁用方法

※苏宁易购、1号店、当当网还有一小部分国内网站的HTTPS目前在用WoSign的证书，禁用后包括登录页在内的加密内容会不可用，是要继续用这些网站还是要避免中间人攻击的风险你自己选咯。

想彻底禁用相关CA就要把它们的根证书添加到黑名单，先下载

ca.cer/startcom.crt	StartCom Certification Authority	startssl.com
ca-g2.cer/startcom_g2.crt	StartCom Certification Authority G2
ca-sha2.cer	StartCom Certification Authority
certum.crt	Certum CA	wosign.com
WS_CA1_G2.crt	Certification Authority of WoSign G2
WS_CA1_NEW.crt	Certification Authority of WoSign
WS_CA2_NEW.CRT	CA 沃通根证书
ws_ecc.crt	CA WoSign ECC Root
All WoSign/StartCom Root CAs		OneDrive

WoSign加上被收购的StartCom目前一共有7张根证书，再加一张和WoSign G2交叉认证的Certum CA。

 

ev-root.cer	China Internet Network Information Center EV Certificates Root	cnnic.cn
root.cer	CNNIC ROOT
All CNNIC Root CAs		OneDrive

也不能忘了黑名单上的前辈CNNIC，好久不见又多了一张根证书，一起拉黑 😆 。

 

下载后双击打开

点安装证书

下一步—→将所有的证书放入下列存储—→浏览—→不信任的证书—→确定—→下一步—→完成

禁用完的证书再打开是这样的。

然后一样的操作把所有证书都导入不信任的证书。

重新打开浏览器访问那些网站的HTTPS链接，就能看到这样的提示。

 

Android的CA禁用方法

打开 设置—→安全—→证书安装

禁用这些证书