Windows中應該保留哪些根證書?
想當年認為支付寶是一個懂安全的網站時,安裝了支付寶安全插件,添加了http://alibaba.com的根證書,現在想想特不安全,那麼操作系統中應該如何選擇根證書?是否可以用mac或者android的根證書導入?
https://github.com/chengr28/RevokeChinaCerts
全自動可疑證書吊銷工具/全自動可疑憑證撤銷工具
這裡收集了中國政府或者企業發行/私自發行/偽造的證書
信得過就運行bat自動拉黑信不過看列表然後手動拉黑吧這很可能是個偽命題
證書的主要用途是兩個,一個是簽名,一個是加密。前者是為了證明身份防止偽造,後者不說了。
但是證書本身也有可信性問題啊,因為證書生成演算法是公開的,還有專用軟體,誰都可以自己拿個電腦+軟體整一個證書出來。罪犯都可以。
於是有了證書體系,就是某個德高望重的人出來說,這個人值得信任。德高望重的老頭就是根證書,他用權威身份加長期優良的歷史行為記錄對所有子證書做了擔保:它們在明確的範圍內是可信的,是好人,這些證書可以被信任。
這種擔保是用加密和簽名來實現的,防止被篡改。子證書還可以繼續有孫子,信任一級一級傳遞。
公開的根證書信任體系,就是因為在網路上的公開通信太多,太亂,互不信任怎麼辦?大家都去找同一個老頭來證明自己。
萬一有一對傢伙找了不同的老頭咋辦?老頭之間會對峙的,就好像血族族長之間交換信息,下面的小鬼不會相互認為對方是野鬼而格殺勿論一樣。
看上去很美好?
但是…為什麼又出來但是?有些老頭對誰都信不過!!
特別是那些掌握了大量鈔票的老頭!!(葛朗台?)於是他們乾脆自啟爐灶,自己發證書!
於是嘩嘩嘩,你會發現,自己電腦上怎麼多了那麼多銀行的證書,信任根證書列表也增加了!支付寶的根證書就是這麼來的,它們也不會胡亂授信出去,分分鐘都是錢啊。有本事你把支付寶的根證書刪了,看怎麼走高額賬款。有人問:這跟12306有個毛關係?待續…
應該保留:
Comodo Root CA
Symantec / VeriSign CA
Digicert
Thawte
GeoTrust
GlobalSign
Entrust
QuoVadis
UserTrust
AlphaSSL
SwissSign
DST Root CA(與 Let"s Encrypt 有關)
Microsoft Root CA
這些都是在國際市場上有信譽且經受考驗的證書提供商
有遺漏的歡迎補充,其餘都扔黑名單
在知乎逛久了,有些懷疑那些不懂技術的財務是怎麼活下來的。
推薦閱讀:
※挖到CVE是一種什麼感受?
※黑客和網路安全從業者有哪些常人沒有的電腦使用習慣?
※比特幣是最安全的電子貨幣嗎?
※網路安全研究員有哪些職業病?
※Flashsky和Alert7兩位大牛成立的南京翰海源是一家什麼樣的公司?
TAG:支付寶 | MicrosoftWindows | 網路安全 | 中國互聯網路信息中心 | 根證書 |