Windows中應該保留哪些根證書?

想當年認為支付寶是一個懂安全的網站時,安裝了支付寶安全插件,添加了http://alibaba.com的根證書,現在想想特不安全,那麼操作系統中應該如何選擇根證書?是否可以用mac或者android的根證書導入?


https://github.com/chengr28/RevokeChinaCerts

全自動可疑證書吊銷工具/全自動可疑憑證撤銷工具

這裡收集了中國政府或者企業發行/私自發行/偽造的證書

信得過就運行bat自動拉黑

信不過看列表然後手動拉黑吧


這很可能是個偽命題

證書的主要用途是兩個,一個是簽名,一個是加密。前者是為了證明身份防止偽造,後者不說了。

但是證書本身也有可信性問題啊,因為證書生成演算法是公開的,還有專用軟體,誰都可以自己拿個電腦+軟體整一個證書出來。罪犯都可以。

於是有了證書體系,就是某個德高望重的人出來說,這個人值得信任。德高望重的老頭就是根證書,他用權威身份加長期優良的歷史行為記錄對所有子證書做了擔保:它們在明確的範圍內是可信的,是好人,這些證書可以被信任。

這種擔保是用加密和簽名來實現的,防止被篡改。子證書還可以繼續有孫子,信任一級一級傳遞。

公開的根證書信任體系,就是因為在網路上的公開通信太多,太亂,互不信任怎麼辦?大家都去找同一個老頭來證明自己。

萬一有一對傢伙找了不同的老頭咋辦?老頭之間會對峙的,就好像血族族長之間交換信息,下面的小鬼不會相互認為對方是野鬼而格殺勿論一樣。

看上去很美好?

但是…為什麼又出來但是?

有些老頭對誰都信不過!!

特別是那些掌握了大量鈔票的老頭!!(葛朗台?)

於是他們乾脆自啟爐灶,自己發證書!

於是嘩嘩嘩,你會發現,自己電腦上怎麼多了那麼多銀行的證書,信任根證書列表也增加了!

支付寶的根證書就是這麼來的,它們也不會胡亂授信出去,分分鐘都是錢啊。有本事你把支付寶的根證書刪了,看怎麼走高額賬款。

有人問:這跟12306有個毛關係?待

續…


應該保留:

Comodo Root CA

Symantec / VeriSign CA

Digicert

Thawte

GeoTrust

GlobalSign

Entrust

QuoVadis

UserTrust

AlphaSSL

SwissSign

DST Root CA(與 Let"s Encrypt 有關)

Microsoft Root CA

這些都是在國際市場上有信譽且經受考驗的證書提供商

有遺漏的歡迎補充,其餘都扔黑名單


在知乎逛久了,有些懷疑那些不懂技術的財務是怎麼活下來的。


推薦閱讀:

挖到CVE是一種什麼感受?
黑客和網路安全從業者有哪些常人沒有的電腦使用習慣?
比特幣是最安全的電子貨幣嗎?
網路安全研究員有哪些職業病?
Flashsky和Alert7兩位大牛成立的南京翰海源是一家什麼樣的公司?

TAG:支付寶 | MicrosoftWindows | 網路安全 | 中國互聯網路信息中心 | 根證書 |