两面夹击 让恶意证书无处遁形

重剑

前段时间联想的Superfish事件闹得沸沸扬扬，最主要的原因就是该广告软件自带有一个安全证书，可以干扰HTTPS加密数据的传输。而最近CNNIC颁发的安全证书，也出现了一些安全上的非议。那么对于一些存在恶意性质的安全证书，我们如何将其从系统以及浏览器中清除呢？

禁用系统中的安全证书

不同的浏览器对安全证书的使用方式是不一样的，比如IE、Chrome、Safari等浏览器，使用的都是操作系统的证书体系。所以要想清除相应的安全证书，就只能在系统里面进行操作。

按Win+R组合键打开“运行”框，输入“certmgr.msc”命令后按回车键打开Windows的证书管理器。接着在左侧列表中找到“受信任的根证书颁发机构”项，展开它后选择其中的子项目“证书”。再在右侧的窗口列表中，就可以看到所有系统里面已经安装的安全证书。为了避免在删除安全证书后再被安装上，这里可以选择禁用而非删除。现在从中找到需要禁用的安全证书，点击鼠标右键选择“属性”命令（图1），在弹出的属性对话框中，选中“禁用此证书的所有目的”，点击“确定”就可以了（图2）。

如果用户觉得禁用安全证书还不彻底，还可以将它们导入到“不信任的证书”列表中，这样也就等于加入到系统的黑名单中了。

依然是右击要禁用的安全证书，然后选择“所有任务”中的“导出”命令。在弹出的向导对话框中，按照默认的提示一步步进行操作。在“要导出的文件”中点击“浏览”按钮，然后将这个安全证书保存到硬盘中即可。接下来在左侧列表中找到“不信任的证书”项，点击鼠标右键选择“所有任务”中的“导入”命令。这时会弹出一个证书导入的向导，点击“下一步”后在新的对话框中点击“浏览”，再在弹出的对话框中选择刚刚导出的那个问题安全证书文件。最后点击“下一步”按钮，按照默认的设置进行操作即可。

删除浏览器不需要的证书

当然并不是所有的浏览器都是使用系统的证书体系，包括火狐浏览器在内的一些浏览器自带了一套证书体系。所以要想对这些浏览器的安全证书进行管理，只有在这些浏览器的内部才可以完成。

以火狐浏览器为例，点击右上角的“打开菜单”命令，在弹出的菜单中选择“选项”，在弹出的对话框中选择“高级”按钮。接着再点击其中的“证书”标签页，然后点击下面的“查看证书”按钮（图3）。

接下来在弹出的证书对话框中，切换到“证书机构”标签页。在安全证书列表中找到需要删除的证书后，点击下面的“删除或不信任”按钮。这时浏览器会弹出一个安全警示框，点击“确定”按钮就可以完成不必要证书的删除。

当然如果不愿意删除的话，也可以点击“编辑信任”按钮。然后在弹出的对话框中将“此证书可以标识网站”等选项的勾选都去除，这也就相当于对这些证书进行了禁用设置，以后在需要使用的时候再选中信任选项即可。