WoSign/StartCom 根证书手动拉黑

  • Android / Windows
  • WoSign/StartCom的CA证书已经先后被Mozilla和Google拉黑,不过浏览器的版本更新还有两三个月,系统补丁就更慢了,还是自己动手吧。

    WoSign/StartCom的CA证书已经先后被Mozilla和Google拉黑,不过浏览器的版本更新还有两三个月,系统补丁就更慢了,还是自己动手吧。


    如果不了解什么是CA证书、这些CA证书的危害,可以看 编程随想 写的老流氓 CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿   数字证书及 CA 的扫盲介绍等等相关文章。


    Windows的CA禁用方法

    ※苏宁易购、1号店、当当网还有一小部分国内网站的HTTPS目前在用WoSign的证书,禁用后包括登录页在内的加密内容会不可用,是要继续用这些网站还是要避免中间人攻击的风险你自己选咯。

    想彻底禁用相关CA就要把它们的根证书添加到黑名单,先下载

    ca.cer/startcom.crtStartCom Certification Authoritystartssl.com
    ca-g2.cer/startcom_g2.crtStartCom Certification Authority G2
    ca-sha2.cerStartCom Certification Authority
    certum.crtCertum CAwosign.com
    WS_CA1_G2.crtCertification Authority of WoSign G2
    WS_CA1_NEW.crtCertification Authority of WoSign
    WS_CA2_NEW.CRTCA 沃通根证书
    ws_ecc.crtCA WoSign ECC Root
    All WoSign/StartCom Root CAsOneDrive

    WoSign加上被收购的StartCom目前一共有7张根证书,再加一张和WoSign G2交叉认证的Certum CA。

     

    ev-root.cerChina Internet Network Information Center EV Certificates Rootcnnic.cn
    root.cerCNNIC ROOT
    All CNNIC Root CAsOneDrive

    也不能忘了黑名单上的前辈CNNIC,好久不见又多了一张根证书,一起拉黑 😆 。

     

    下载后双击打开

    before-install

    点安装证书

    install-ca

    下一步—→将所有的证书放入下列存储—→浏览—→不信任的证书—→确定—→下一步—→完成

    after-installed

    禁用完的证书再打开是这样的。

    然后一样的操作把所有证书都导入不信任的证书。

    verify

    重新打开浏览器访问那些网站的HTTPS链接,就能看到这样的提示。

     

    Android的CA禁用方法

    打开 设置—→安全—→证书安装

    android-cas-1 android-cas-2 android-cas-3 android-cas-4

    禁用这些证书


    muyunfengliu

    「九州生氣恃風雷 萬馬齊喑究可哀」

    You may also like...

    Leave a Reply

    Your email address will not be published. Required fields are marked *