Windows中應該保留哪些根證書?

想當年認為支付寶是一個懂安全的網站時，安裝了支付寶安全插件，添加了http://alibaba.com的根證書，現在想想特不安全，那麼操作系統中應該如何選擇根證書？是否可以用mac或者android的根證書導入？

---

https://github.com/chengr28/RevokeChinaCerts

全自動可疑證書吊銷工具/全自動可疑憑證撤銷工具

這裡收集了中國政府或者企業發行/私自發行/偽造的證書

信得過就運行bat自動拉黑

信不過看列表然後手動拉黑吧

---

這很可能是個偽命題

證書的主要用途是兩個，一個是簽名，一個是加密。前者是為了證明身份防止偽造，後者不說了。

但是證書本身也有可信性問題啊，因為證書生成演算法是公開的，還有專用軟體，誰都可以自己拿個電腦+軟體整一個證書出來。罪犯都可以。

於是有了證書體系，就是某個德高望重的人出來說，這個人值得信任。德高望重的老頭就是根證書，他用權威身份加長期優良的歷史行為記錄對所有子證書做了擔保：它們在明確的範圍內是可信的，是好人，這些證書可以被信任。

這種擔保是用加密和簽名來實現的，防止被篡改。子證書還可以繼續有孫子，信任一級一級傳遞。

公開的根證書信任體系，就是因為在網路上的公開通信太多，太亂，互不信任怎麼辦？大家都去找同一個老頭來證明自己。

萬一有一對傢伙找了不同的老頭咋辦？老頭之間會對峙的，就好像血族族長之間交換信息，下面的小鬼不會相互認為對方是野鬼而格殺勿論一樣。

看上去很美好？

但是…為什麼又出來但是？

有些老頭對誰都信不過！！

特別是那些掌握了大量鈔票的老頭！！（葛朗台？）

於是他們乾脆自啟爐灶，自己發證書！

於是嘩嘩嘩，你會發現，自己電腦上怎麼多了那麼多銀行的證書，信任根證書列表也增加了！

支付寶的根證書就是這麼來的，它們也不會胡亂授信出去，分分鐘都是錢啊。有本事你把支付寶的根證書刪了，看怎麼走高額賬款。

有人問：這跟12306有個毛關係？待

續…

---

應該保留：

Comodo Root CA

Symantec / VeriSign CA

Digicert

Thawte

GeoTrust

GlobalSign

Entrust

QuoVadis

UserTrust

AlphaSSL

SwissSign

DST Root CA（與 Let"s Encrypt 有關）

Microsoft Root CA

這些都是在國際市場上有信譽且經受考驗的證書提供商

有遺漏的歡迎補充，其餘都扔黑名單

---

在知乎逛久了，有些懷疑那些不懂技術的財務是怎麼活下來的。

---

推薦閱讀：