WoSign/StartCom 根证书手动拉黑

,

Published on

WoSign/StartCom的CA证书已经先后被Mozilla和Google拉黑,不过浏览器的版本更新还有两三个月,系统补丁就更慢了,还是自己动手吧。


如果不了解什么是CA证书、这些CA证书的危害,可以看 编程随想 写的老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿   数字证书及 CA 的扫盲介绍等等相关文章。


Windows的CA禁用方法

※苏宁易购、1号店、当当网还有一小部分国内网站的HTTPS目前在用WoSign的证书,禁用后包括登录页在内的加密内容会不可用,是要继续用这些网站还是要避免中间人攻击的风险你自己选咯。

想彻底禁用相关CA就要把它们的根证书添加到黑名单,先下载

ca.cer/startcom.crt StartCom Certification Authority startssl.com
ca-g2.cer/startcom_g2.crt StartCom Certification Authority G2
ca-sha2.cer StartCom Certification Authority
certum.crt Certum CA wosign.com
WS_CA1_G2.crt Certification Authority of WoSign G2
WS_CA1_NEW.crt Certification Authority of WoSign
WS_CA2_NEW.CRT CA 沃通根证书
ws_ecc.crt CA WoSign ECC Root
All WoSign/StartCom Root CAs OneDrive

WoSign加上被收购的StartCom目前一共有7张根证书,再加一张和WoSign G2交叉认证的Certum CA。

 

ev-root.cer China Internet Network Information Center EV Certificates Root cnnic.cn
root.cer CNNIC ROOT
All CNNIC Root CAs OneDrive

也不能忘了黑名单上的前辈CNNIC,好久不见又多了一张根证书,一起拉黑 😆 。

 

下载后双击打开

before-install

点安装证书

install-ca

下一步—→将所有的证书放入下列存储—→浏览—→不信任的证书—→确定—→下一步—→完成

after-installed

禁用完的证书再打开是这样的。

然后一样的操作把所有证书都导入不信任的证书。

verify

重新打开浏览器访问那些网站的HTTPS链接,就能看到这样的提示。

 

Android的CA禁用方法

打开 设置—→安全—→证书安装

android-cas-1 android-cas-2 android-cas-3 android-cas-4

禁用这些证书

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *