清理不安全的CA证书

CA证书的概念

所谓 “证书”也称“数字证书”，其实是一个小程序包，用来证明某某公司（或人）确实是某某公司（或人）。为了防止坏人自己制作个证书冒充他人出来骗人，需要有一个有公信力的权威机构——CA（也叫证书授权中心）来负责管理和签发证书，就如同由一个公证机构为大家分别出具一个身份证明ie浏览器证书错误原因，这样每个人就都可以用该公证机构出具的身份证明来证明自己就是某某人。而这样的有公信力的权威机构所颁发的证书，就称为“CA证书”。这样的有公信力的权威机构在全世界范围不止一家，而是有很多家。

CA证书的用途

1、验证某文件是否可信（是否被篡改）

CA证书可以用来验证某个文件是否被篡改。比如我们下载微软公司的一个文件，当我们鼠标右键点击查看该文件的属性，会看到文件属性里有个“数字签名”的标签页。如果没有出现这个标签页，就说明该文件没有附带数字签名。但一般来说，目前大多数知名的公司（或组织机构），其发布的可执行文件（比如软件安装包、驱动程序、安全补丁），都带有数字签名。在文件属性的“数字签名页”签名列表中，通常有一个签名。选中它，点“详细信息”按钮。跳出如下界面如显示：“该数字签名正常”，就说明该文件从出厂到您手里，中途没有被篡改过。如果该文件被篡改过了（比如，感染了病毒、被注入木马），那么对话框会出现一个警告提示“该数字签名无效” 。建议在安装软件之前，都先看看一下该软件是否有数字签名。如果有，就按照上述步骤验证一下。一旦数字签名是无效的，可千万别使用。

2、验证网站是否可信（针对https）

证书除了可以用来验证软件是否被篡改外，还通常被用来验证网站是否可信。当我们以https加密方式连接网站的情况下，https 协议除了加密我们和网站间的数据流外ie浏览器证书错误原因，还有一套证书的机制来确保某个站点确实就是某个站点。当用户的浏览器使用https方式访问某个网站时，浏览器会验证该站点上的 CA 证书（类似于验证公证机构为该公司开具的身份证明信）。如果浏览器发现该证书没有问题（证书被某个根证书信任、证书上绑定的域名和该网站的域名一致、证书没有过期），那么页面就直接打开；否则的话，浏览器会给出一个警告，告诉您该网站的证书存在某某问题，是否继续访问该站点？

清理不安全的CA证书的方法

1、对于Chrome和IE浏览器，由于其使用windows系统内置的CA证书系统，故通常仅需清理windows内置的CA证书即可，打开windows中的“certmgr.msc”，在各信任证书列表中找出我们想清理的证书，然后右键选择“属性”——“停用这个证书的所有目的”，然后确定；最后为保险起见，再把这个证书导入到“不信任的证书”中。

2、对于火狐浏览器，打开“工具”——“选项”——“高级”——“证书”——“查看证书”来查看已经内置在火狐中的CA证书列表。从列表中找出您需要清理的CA证书，点击选中该证书，然后选择“删除或不信任”，点击“确定”后退出火狐即可。有时再次打开火狐后，似乎刚才删除的CA证书又出现在火狐内置的CA证书列表中了，您点选该已删除的证书，然后点“编辑信任”，就会发现，该证书“信任设置”的各项对勾都已经被取消，这就证明该证书已经被取消信任了。