网上流传的所谓「支付宝偷偷添加根证书，将造成安全隐患」的说法是否正确？

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

知乎用户 刘志松 发表

@Ivony

的回答浅显易懂，说的不无道理。 我想再补充一下。顺便评论一下很多人提到的 CNNIC 乱入 Windows 和 Firefox 根证书机构的问题。

这个问题的关键在于支付宝私自添加根证书，是否有危害，危害大不大，对吧。

评论中和其他回答（如

@刘昊

）以及里面的评论对于阿里巴巴作为一个根证书机构是否具备权威性，以及安全性是否能得到保障做了很多的讨论。我认为讨论的角度有点偏。 CNNIC、12306、阿里巴巴和很多其他银行的根证书之所以不应被信任，不仅是因为它们的公正性和可信度没有得到业界和公众认可，更重要的是，它们的根证书声明了远远超出需要的权限。

什么叫远远超出需要呢？阿里巴巴和各银行的根证书如果像很多同学所说，是为了为自己的网站签名，只需要有 “服务器身份验证” 的权限就可以了。如果需要为各种外置 UKey 签名，只需要“客户端身份验证权限”，而自己的软件需要认证，只需要“代码签名” 权限。

那让我们看看 CNNIC 声称自己用用哪些认证权限。

再来看看 12306 的证书

什么叫 <所有>，可能大家没有概念，各位可以点开证书属性看一下

选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。

那么有威胁的权限有哪些呢？看这里

有很多各位不需要专业知识，都能看出是很过分的目的了。比如硬件驱动验证、Windows 更新等等。这意味着 CNNIC、12306 以及 Alibaba 可以伪造微软的更新包或签名的驱动程序，“合法的” 向你的内核插入任意代码。而这一切，由于 Windows 支持后台推送更新，都可以在你完全不知情的情况下发生。相比于这个安全威胁，中间人攻击什么的完全是战五渣

==============================================

对于 CNNIC 被微软和 Firefox 接纳为根证书机构的事情，这些年讨论的越来越少了。当年 CNNIC 进入 Mozilla 的根证书机构时，Mozilla 社区就进行了激烈的争论。英语好的同学可以自行翻看当年的帖子。有意思的是，虽然来自中国的很多小伙伴反复列举了 CNNIC 过去的种种恶行（估计如果是国外的公司这么干，估计不会有人还会信任它了），Firefox 的副总 Johnathan Nightingale 却一直在为 CNNIC 辩护。我不想评论 Nightingale 的做法。但他就事论事、讲求逻辑和证据的态度值得大家学习。

知乎用户 Ivony​​ 发表

最后更新于，2013-12-21 15:50

本文是 12306 和招行的软文，脑残黑请出门右拐。

正确。

未经用户许可偷偷添加根证书信任是非常严重的行为！

关键点在未经用户许可，这种行为好比，你请支付宝到你家来做客，结果他把你家的钥匙给偷偷配了一把。

作为支付宝，请求用户信任其颁发的证书，是合理的！

但是偷偷的跟用户的保安说，这用户是我的哥们儿，以后我介绍的人你就不要盘问了，这种行为怎么说都不为过。

由此可见，中国的互联网主要都是一群毫无节操的公司。不要使用任何请求系统权限的所谓安全控件，才能真正的保证您的安全。

未经用户许可，利用安全控件窃取系统权限，安装根证书的行为，毋庸解释，流氓无疑。所谓安全目的，均是障目之术，毫无节操。（我在我电脑上就没有发现招行的根证书颁发机构）。

在这一点上，就连 12306 都比较有节操的让用户自行下载和安装，并且有其 “正当目的”（HTTPS+CDN）。

下面有人评论说怎么能证明这个证书就是支付宝弄的。

很简单，先删除这个证书，然后到下面的地址下载支付宝的安全控件：

安全中心 - 支付宝

然后安装，就会发现 http://alibaba.com 的证书赫然出现在受信任的根证书颁发机构。

证书截图：

事实上这个证书是毫无必要的，因为即使删除这个证书，支付宝依然能够登录，除了开后门，几乎没有别的解释！

证书这货到底是什么东西：

在早期的互联网时代，我们的网站、软件，都是依赖于我们自己的信任而使用的。

例如我有一套游戏的安装程序，你从我这边拷贝过去，然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了，完全是依赖于我告诉你的。

网站也是同理，我知道 http://cmbchina.com 这个地址是招商银行，是因为招行营业厅的 MM 告诉我的，我信任营业厅的这个 MM。

这种信任是非常薄弱和糟糕的，病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序，可能已经被病毒侵袭，它当然还是可以安装游戏，但同时也会安装病毒！

营业厅的 MM 有可能是招行的员工，也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站，但是经常会给我推销一些完全用不到的保险啥的。

在继续讨论之前，我要引入一个新的概念，信任链。

拿刚才的例子来说，你从我这边拷贝了一份游戏的安装程序。信任链是这样的：

你信任我，我是你的朋友，我没必要害你

我信任卖光盘的，他是个卖光盘的，没必要给我装病毒

卖光盘的信任刻光盘的

刻光盘的信任下载的网站

下载的网站信任上传的用户

上传的用户信任分发该份拷贝的盗版组织

…………

很显然，这么长的一个信任链，中间出现问题的可能性是非常大的。可以说，信任链越长，就越不安全。

同时，因为这一份程序在这么多人之间拷贝分发，任何一个环节感染病毒，都会导致下游所有的环节感染病毒。

证书是如何解决这两个问题的？

证书有两个功能：

1、身份标识，证明这个网站 / 软件 / 其他的发布者是谁（如微软、UBI、Google、招行）。

2、数字签名，确保这个网站 / 软件 / 等等的内容没有被任何人篡改。

第一个功能解决了信任链的问题，通过证书，我们的信任链可以变得非常的简单：用户 信任 发行者。

例如一个英雄无敌 V 的游戏安装程序，如果它是使用正确的 UBI 的证书签名的，那么我就可以完全的信任这个程序，可以给我安装一个英雄无敌 V 的拷贝。

第二个功能则杜绝了在分发过程中被篡改，植入病毒和木马的可能。

同样是这个英雄无敌 V 的游戏安装程序，只要他是被正确的 UBI 的证书签名了，那么不论我是从盗版光盘上拷贝还是从某个不知名的下载网站下载的，我都可以放心的知道，这个和 UBI 发售的光盘上的东西是一模一样的。

那么，我是怎么知道这个证书是 UBI 的呢？换言之，我是怎么知道哪个证书是正确的 UBI 的证书，而不是隔壁王二狗子自己冒充的呢？

这就依赖于证书颁发体系了。

几乎网络上所有的证书（除去用于个人用途的自签名证书以及根证书颁发机构的证书），都是由某个证书颁发机构颁发的。证书颁发机构负责核实证书申请者的真实身份（例如我们公司网站申请 SSL 证书就需要提交公司营业执照的影印件，还有证明自己拥有网站域名的材料），以及吊销被泄漏和滥用的的证书。

也就是说证书颁发机构，就是证书所有者身份的确认人。一旦你信任了某个证书颁发机构，就等于信任了这个证书颁发机构所颁发的所有证书的身份确认信息！

操作系统只会把确认好的身份信息展示给你！

神马是根证书颁发机构？

证书颁发机构和域名一样，是一个树状的结构，全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书，因为一旦根证书颁发机构的证书被泄漏，所有直接间接的证书，都会受到严重的影响。

所以，根证书颁发机构一般授权二级证书颁发机构颁发证书，一旦信任一个根证书颁发机构，等同于信任其下所有颁发的所有证书，以及其授权的二级证书颁发机构颁发的所有证书。

更为严重的事情是，根证书颁发机构，是整个证书颁发体系中，唯一不受任何身份验证的。其身份的正确性，**由其自行保证！**也就是说，根证书颁发机构可以宣称自己是任何一个公司，没有任何人和组织可以对其进行审查！

换句话说，支付宝要更没节操点，给你弄个自己签发的 VeriSign 的根证书装你电脑里也没商量。

事实上，根证书颁发机构是整个证书体系中，最薄弱的环节。这就是为什么上次微软在操作系统中内置 CNNIC 这个流氓的根证书引起了网络上广泛的质疑。根证书几乎只能由操作系统内置，通过操作系统安装程序二进制代码的安全来确保正确。

下面是一个正确的证书的栗子：

这个就是支付宝网站的 SSL 证书。

可以看到，这里是证书路径的界面，其中指出了这个证书的颁发者：

颁发者是 VeriSign Class 3 Secure Server CA - G3

颁发者的证书是受根证书颁发机构 VeriSign Class 3 Public Certification Authority - G5 信任的

VeriSign Class 3 Public Certification Authority - G5

就是全球为数不多的几个根证书颁发机构之一。

所以自行添加根证书这种行为，完全可以视同是木马！是后门！甚至是更严重的行为！

尤其是在现代互联网和操作系统中，这种行为是从根本上动摇系统安全的行为！

**
支付宝是怎么做到的？
**

事实上要注入受信任的根证书颁发机构，是需要系统管理员的权限的，所以当安装安全控件的时候，系统会提示这货在请求系统管理员权限（Windows Vista 及以后的版本正确配置 UAC 的环境下）：

当你看到这个界面的时候，请注意，你在打开潘多拉的盒子。一旦你点击是，那么这个应用将获得系统管理员的所有权限，对你的系统偷摸摸的更改而无需你的确认。

请谨慎使用任何请求系统管理员权限的应用。事实上如果每次遇到这个对话框你都点击否的话，你的电脑被安装病毒木马的可能性几乎是零。

**
我该怎么做？**

对于这种没有节操的行为，最好的办法就是把他们永远的封印起来，让他们永不超生。

打开 Windows 运行，然后输入 mmc 回车，

此时会看到一个智能控制台的界面：

选择文件菜单中的添加 / 删除管理单元功能。

在弹出的窗口中找到证书，并添加。

在弹出来的界面上选择本地计算机账户：

完成后，在受信任的根证书颁发机构中，找到这个臭流氓：

把它拖拽到不信任的证书下面的证书文件夹去。。。。。

然后他就不能再耍流氓了，，，，

不过要谨记，你可以把他扔到不信任的区域，流氓也能自己再弄出来，或者用安全恐吓，功能缺失来威胁用户。对待这种情况，要坚决的 say no！

事实上我把这个证书给干掉了，支付宝屁事儿没有。

最后纠正一下其他答案的几个误区：

**1、注入一个根证书不过是能发起中间人攻击，危害不大。
**

**HTTP SSL 加密只是证书的其中一个用途！**证书在现代互联网和操作系统中的应用会越来越广泛，在可预见的将来，所有的程序、邮件、文档，全部都会使用证书加密，确保其在传输、分发过程中，不被篡改。确认发行者的身份。

事实上三大智能手机平台的应用，就是用证书来确保分发不被篡改的。

2、注入根证书颁发机构是为了自己的加密用途，是合理的。

事实上，支付宝的网站，有合法的被信任的证书（上面有截图），所以没有必要自行颁发证书。并且，如果是自行加密用途，可以在服务器记录公钥私钥即可。并没有必要颁发证书来完成安全用途。

还有所举的那些银行网站，都是一堆没有节操的公司。招行就没有安装任何证书，我使用招行专业版好好的。

**证书具体有些什么用途？
**

HTTP SSL 加密（即 HTTPS 协议）是证书目前最为广泛的一个用途。通过服务器 SSL 证书的身份验证，我们可以确认我们访问的服务器是正确的网站。涉及到资金和帐号的网站，一般都使用 HTTPS 协议，例如支付宝、网上银行、Google 登录等。

同时，HTTP SSL 加密可以确保浏览器与服务器之间的通信，不被任何第三方窃取和监听。这保障用户数据的安全，所以 Gmail 目前已经全面使用 HTTPS 协议。

中间人攻击，仅仅是根证书污染可能造成的威胁之一，也是上次 CNNIC 证书加入到根证书中人们所最担心的事情。

简单来说，中间人攻击的主要目的是窃取 HTTPS 传输过程中的内容。

具体的做法是通过网络劫持（网络运营商非常容易做到，如电信联通），在用户与目标网站之间加设代理服务器。由于 HTTP 协议传输过程中是不加密的，所以可以窃取所有传输的资料并进行篡改。

事实上电信一直在干这事儿，莫名其妙的电信广告弹窗就是这样冒出来的。

但由于 HTTPS 协议使用了证书对传输过程进行了加密，并且对服务器进行身份验证，所以简单的网络劫持加设代理便宣告无效。

但如果此时，由某个用户信任的根证书颁发机构，给这个加设的代理服务器进行身份认证，并提供传输加密。那么用户通过 HTTPS 协议访问网站时不会有任何的异样，而以为是安全的。

所以 CNNIC 根证书为什么会受到广泛的质疑，就是因为这个机构和中国电信是一个窝的。故而大家非常担心他会串通电信进行中间人攻击。

钓鱼网站伪造，尽管中间人攻击可以直接窃取用户传输的内容，如帐号密码，但是中间人攻击仍然需要对网络进行攻击来加塞代理服务器。

而伪造一个钓鱼网站，例如什么 http://1cbc.com.cn 则简单的多。证书颁发机构可以可以确认这个网站的身份，即使你对这个钓鱼网站存疑，但是如果浏览器告诉你这个网站是安全的，你会怎么做呢？

伪造程序签名，证书不仅仅可以确认网站的身份，以及进行传输的加密，也可以确认应用程序发布者的身份，并让你信任它。

这是一个经过签名的应用程序请求系统权限的时候的提示：

可以看到，与上面支付宝的控件请求系统权限不同，这个提示的底色已经变成了蓝色，表示这是操作系统信任的一个程序，点击查看证书信息，我们可以看到这个应用程序的证书：

这个证书可以确保这个应用程序是由 Disc Soft Ltd 公司发布的，并且没有被任何第三方篡改过。这意味着，这个程序包含病毒的可能性取决于 Disc Soft Ltd 这个公司的节操。当然一般国外软件公司的节操我还是信得过的。所以我可以放心的点击是。

而这个 Disc Soft Ltd 公司的身份验证，则是由上面的根证书颁发机构来确认的。

其他许多场景

在最后，我想再次强调一下，证书，是现代软件和互联网行业，最为简单便捷的确保安全的方案。其广泛运用于：软件、网站、邮件、文档等等等等的加密和验证领域。

尽管证书的应用目前并不广泛，但是证书却是未来互联网的信任的基石。

而这个基石的基础，就是用户对根证书颁发机构的绝对信任！

请注意我这里使用的是绝对信任，因为，根证书颁发机构的证书，不能被任何组织或机构所验证，因为几乎一切互联网上的验证机制，都是通过证书体系来完成的。

我举一个栗子，我如何验证我电脑上的这个 VeriSign 的根证书是正确的？我们可以想出很多种办法：

1、直接问我，或者问某个安全领域的砖家。

你怎么知道我或者砖家不会骗你？万一我收了别人的钱呢？或者我也被人骗了呢？

2、去 VeriSign 网站查询。

你怎么知道这个网站是 VeriSign 的？有 HTTP，有绿色的小锁？问题是这些都是基于你所信任的根证书的。如果你的根证书是假的，他肯定会弄个假的网站给你认证了，反而把那个真的网站给认证成不安全的。

3、去第三方网站下载证书的校验码。
哪个网站是可信的？没有证书的情况下，所有的网站都可能被劫持，被篡改。
所以对于根证书的绝对信任，构建了整个证书体系，也是整个互联网的安全体系。
而支付宝不告知用户自动安装根证书的行为，是从根本上破坏互联网安全的行为！

**
那么，如果支付宝不干坏事，我信任支付宝，是否这个根证书就毫无风险？**

不是的，整个互联网和软件的安全，构筑在对根证书的绝对信任上。任何一个根证书的植入，都给用户带来了一分威胁。即使支付宝不干坏事，但如果支付宝的这个证书的私钥哪天被泄露了，后果会怎样？！

你信任支付宝，但你信任支付宝对别人的认证么？

说到这里淘宝天猫卖家要笑而不语了。。。。

最后解答一下，为什么说支付宝这种行为，比起 12306 来说更为恶劣，因为 12306 也要求安装根证书才能用啊。两点：

1、这个根证书对于支付宝的使用不是必需的，而对于 12306 而言，在某种程度上是必须的（否则浏览器会自动阻止 12306 网站的 HTTPS 访问）。

_当然，事实上 12306 也有麻烦自己的方案，但是国企你懂的。
_

2、12306 是让你自行决定安装与否，这样，在使用后，你可以自行卸载或作相应处理，支付宝是强行安装，完全没有告知。

这好比，12306 是给你家做装修的装修队，他说我们在这里搞装修要一个多月，你把门钥匙给我，跟门口的保安说一声让我们进来，我们好出去买材料，出出进进的方便。

支付宝呢？支付宝是你请他来你家后，转身就把你家的门钥匙配了一份，还偷偷跟你保安说，那个用户是我哥们儿，他让我随便进，还有我的朋友，也可以随便进。

尽管 12306 这种麻烦自己不如麻烦用户的的行为不值得提倡，但是支付宝这种不麻烦用户，把用户家当自己家的行为，则是更为无耻，没有下限的行为。

知乎用户 余天升​ 发表

谢

@王成

邀请。该文似乎是没有喷对点，如果真的要喷根证书，最应当喷的当然是 12306 的那个根证书了。OSCCA 是国家商用密码办公室，是我国专门负责商用密码的许可和管理的机关单位，也算是一个专业从事信息安全相关工作的机构，相对来说，不过是在根证书的保护和使用上，他们都比 12306 的根证书可靠得多。

我并不了解这个 OSCCA 的根证书是何时进入到我的电脑的，不过我打开看了一下我的证书管理器，别的程序往里面添加根证书还真不少，除了 OSCCA 的这个，还有阿里巴巴、支付宝各有一个，工商银行有四个，KZTechs（就是 SREng 那个软件）有一个，财付通有一个，从这一点上看，自行建立 CA 并且发布根证书感觉像是一个比较流行的做法。

不过换一个角度来看，这种做法确实会存在一定的问题。我们之所以相信一个机构的根证书，是因为我们相信这个机构不会使用这个证书来作恶，也不会将这个证书所能派生的权力颁发给坏人，并且拥有足够的能力保护这个根证书的安全，不会被别人破解或者窃取。一旦这个根 CA 的能力达不到要求，滥用权力或者没有保护好根证书，那么整个信任体系都会土崩瓦解。利用根证书作恶最典型的就是 TLS 中间人攻击，详见《

什么是 TLS 中间人攻击？如何防范这类攻击？

》

所以，我觉得企业或者机构应当为这个互联网世界的安全负起一份责任，除非确保自己有足够的能力保证这个根 CA 的权力不会被滥用或者窃取，否则不应当为了省事或者其他原因发布根证书。而至于这个证书，我觉得倒不至于那么敏感的感觉全世界都在监视你，毕竟要监视你的方法多了去了，找一个非根 CA 的证书自己签发一个也是可以达到的，比如北京数字证书认证中心就是一个从事数字认证方面的国企，真要窃听你找他们帮签一个不就好了，大张旗鼓植入一个根证书做什么？

知乎用户 Rix Tox 发表

說白了根證書是一種信任權威，當你瀏覽 HTTPS 網站、閱讀 S/MIME 郵件、下載 ActiveX 控件、執行 Code Signed 應用程序等等時，這些數據來源中包含着一個數字簽名代表着數據來源的身份。這時系統會幫你判斷這個數字簽名是否「可信」。這個「可信」的判定過程就依賴於基於根證書的信任鏈條。

再通俗一點，根證書的用途類似於白名單，由根證書簽發的數字證書生成的數字簽名都包含在這個白名單上。那麼維護一個可信、可靠的根證書白名單列表就極爲重要了。現在所有主流的操作系統、瀏覽器軟件大廠商都會維護自己的默認根證書列表通過軟件分發給用戶，這種情況其實對於終端用戶來說也基本上是「不知情」的，但是他們都有盡到法律義務，並且遵循我後面講到的原則，也都會在用戶使用協議中列舉相應的法律條款。

機器不會去思考，它只會按照已有的規則進行工作，那麼你作爲用戶可能會問，又不是我一個個手動地同意添加這些根證書的，我爲什麼要信任這些廠家給我的默認根證書呢？

這裏就要考慮到所謂的機會成本問題了，這些默認根證書存在的原則就是**「因爲它作惡的成本高於其作惡的回報，所以我們有理由相信它不會作惡。」**

我們可以看看各大廠商是如何採納根證書的。微軟有一個 Microsoft Root Certificate Program 可以接受機構申請加入微軟的默認根證書列表。Firefox 也有類似的 policy for CAs 來規定根證書機構的申請要求。這些申請條件中都共同有一條很重要的要求：必須由世界公認的審計機構對根證書的管理機構進行信用審計。這些公認的審計機構通常包括 WebTrust.org 和 ETSI Equivalent National Authority，例外是如果審計對象是國家政府的話可以由政府自己進行審計，這裏我們暫不討論政府的根證書。

我們可以拿 WebTrust 對 SSL 根證書機構的 審計要求 來做點分析。審計原則中包括：

1. 根證書機構需要公佈其證書管理的實踐步驟，並且承諾會遵循 CA/Browser Forum Guidelines。
2. 正確收集、認證證書簽收者的資料。
3. 對其管理的密鑰和證書的完整性進行全週期地保護。
4. 軟硬件層面的根證書系統訪問權限要嚴格地管控在認可的人手上。
5. 對證書系統進行長期的維護。
6. 對證書系統的開發和維護要能保持密鑰和證書的完整性。

這些審計工作不是光在申請前期做完就一勞永逸的，而是一個長期性的監督審計過程，所以審計資金根據其工作量和信用要求程度的不同可以是很貴到非常貴。如果根證書機構利用其權力作惡被發現，其證書將被吊銷，該機構也再也不會被任何廠家接受加入到默認根證書列表中，其花費的審計資金也相當於打水漂，如果在司法體系完善的國家還有可能承擔法律責任，所以其作惡成本非常高。之前的沃通就是這樣一個案例，只是在我朝沒有相應法律法規對這種信用機構進行監管。例外是政府的證書一般來說就算是作惡也不會被吊銷的，因爲這當中往往帶有政治因素，政治中沒有善惡，只有立場。

支付寶在用戶不知情的情況下擅自添加沒有經過審計的、甚至不符合審計要求的根證書，實際上是在降低用戶的證書信任系統的可信門檻：從經過嚴格審計認證的證書體系，降低到了隨便哪個公司都可以擅自簽發的，沒有進行任何責任聲明的根證書體系。這種情況下「短板效應」非常適用。一方面你不知道支付寶他們是否有管理根證書的能力，二來由於他們沒有花錢做認證，其作惡成本基本爲零，違背了我們默認信任根證書的原則。如果他們的證書泄漏或者內部開始作惡，受到危害的始終都是用戶。其造成危害的本質在於：在用戶不知情的情況下降低了用戶系統的安全級別，添加不符合默認信任原則的根證書，使用戶暴露在可能受到惡意攻擊的危險中。

嚴格來說這種行爲已經上升到了法律層面，如果是在美國絕對會被告得一分不剩的。

知乎用户 下愚 发表

一句话，随便加根证书的都是臭流氓。SSL 的安全是建立在根证书靠谱的前提下，任何根证书的不靠谱都能破坏整个 SSL 的安全。所有以自己堂堂正正不怕监控为由拒绝承认这个安全隐患的请自行裸奔，实名上网，主动把所有网络活动数据备份交给平平安安，否则都是自欺欺人。

知乎用户 甘泉​ 发表

没人邀请我，我自己来回答一个这个问题， Certificate Authority 是重要的安全根证书。一旦发生漏洞或者被入侵，私匙泄露等等将会造成不可预料的损失。

在每一个操作系统 linux/unix/win/android/ios 都会内置根证书，往往会有几十个认证机构的根证书被植入了你的电脑里。

这些证书非常的重要， 根证书是构建了整个互联网安全的信任体系。

它们的逻辑关系是这样的。 操作系统信任它们——> 它们信任其他它们签发的证书——》我们信任操作系统。 这就构成了一个很严密的 PKI 信任体系。

于是这些根厂商可以用它们的根证书，颁发第二级可信任证书。（中级）一般而言再由第二级的证书去签发给其他需要认证的厂商 / 用户。 由于电子签名的不可更改性，不可抵赖性，所以现在很多软件发行商都会找植根的厂商去给自己的生成的 N 级证书签名。最后用自己生成 N 级证书去给自己的软件 / 网站签名。

经过这些厂商签名的软件 / 网站 就可以附加自己的公司名字。确保最终用户收到的是未经更改的文件。 （有一些操作系统，对于有可信赖签名的软件的权限往往会放大）比如 Windows 内核的驱动，必须有 verisign 的交叉签名。 又或者 几年前的塞班之流的。软件都是需要可信赖签名的。

除了对软件签名以及防止钓鱼证明你访问的就是某某网站之外，证书用在网站上还还有一个用途，就是对网页传输的加密。使用 SSL 技术，可以确保用户提交 / 下载的信息，在客户端前未经篡改。即…… 中间传输的内容的是加密的，即使在网关监控数据，你也无法解出真正传输的明文是什么东西。

上图的意思是 geoTrust 信任该网站，且你访问的内容是加密传输的。

那么， 如果有一家掌握根证书的公司，恶意给别人的网站颁发证书，会怎样呢？

这里说一个好玩的故事，有一个安全公司叫 DigiNotar ，在 windows 操作系统里有它的根证书。它的服务器被入侵，证书的 key 被盗。于是有黑客就用它的 key 去签发证书（理论上可以胡乱认证，把 http://zhihu.com 认证为 google inc 。 把 http://gmaii.com 认证的 gmail 邮箱 ） 普通用户看到网站是通过 https 链接的，并且有根证书的认证，就会潜意识的以为这个网站的安全的。

于是证书 key 被盗后。微软紧急发布了一个补丁。

微软在 KB2607712 补丁中宣布了 DigiNotar 的根证书无效。原文如下：

Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书，DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户（包括 Internet Explorer 用户）执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞，但是此问题会影响 Microsoft Windows 的所有受支持版本。

回到题目的担忧吧，我觉得题主的担忧不是多余的，专业的根证书厂商自身有很多规范的比如 verisign 或者 getrust comodo globalsign 等在给每一个证书签发之前都会仔细审核，认定申请人的资料，是否对应。并且给出一定的担保赔付。因为它们专业，所以由它们签发的证书，往往会出错的概率很小，几乎没有。

另外，我查看了一下支付宝的根证书，**事实上，很多公司都会往用户的操作系统里写入的一个根证书，我想比如 招商银行 工商银行，甚至农业银行都会写入一个证书吧。 这个证书是用于 U 盾的认证服务。**以及在线支付安全。我相信这些公司这样做的目的，也是为了用于的资金更加安全，所以由自己掌握根证书，一旦发生安全问题，不会那么被动的。

基于上考虑， 无论是支付宝还是 12306 或者各大银行植入根证书的行为是可以接受的。因为权衡利弊得失，我认为植入根证书的好处，大于它的风险。

当然，我强烈建议楼主，每次打开使用 SSL 加密的网站之前，点一下浏览器的小锁。

看看它的证书是谁签发的（比如 gmail 的根证书是 geotrust 中级证书是 Google Internet Authority ，如果它的证书是一个你不知名的证书机构颁发的 (比如， 有一天你看到 12306 的那个 SRCA 证书，给 http://gmail.com 签名，这种情况下，你觉得可能吗，不可疑吗？)，如果你真看得到那么一天请不要输入任何的账户密码信息。并且更换网络连接查看你是否被劫持。只要小心，警觉，懂得一定的安全知识很大程度上是可以防范 TLS 中间人攻击的。

知乎用户 匿名用户 发表

我不同意某些回答的看法。

给用户 “颁发” 证书是不会造成用户的损失，只会造成颁发者的麻烦。

问题是，原 po 所指出的不是 “颁发” 证书，而是添加“受信任的根证书颁发机构”，这是完全不一样的。

首先，禁用此证书确实会导致一些网站访问时提示不被信任的证书颁发机构，需要手工确认才能继续访问（有的浏览器会直接禁止访问）。

其次，这个证书不管是由支付宝签发还是由国家密码管理局签发，都不影响用户支付宝的安全性，除非颁发者的私钥被盗了——当然我们知道这极不可能。

第三，使用这个证书有没有风险？答案是有！为什么呢？首先解释一下什么叫中间人攻击。就是说，你发给目标网站的数据被中间人拿到，中间人发给目标网站，再把目标网站的回应发给你，神不知鬼不觉地偷到你的数据。这怎么办？通常使用 https 这样的加密连接，因为中间人没有解密此连接所需的私钥，所以它虽然传送了数据，但无法知道数据里面是什么。那么，根证书和这个有什么关系？答案是：根证书持有者，或根证书持有者直接授权的人，可以对 https 进行中间人攻击。

这怎么做到呢：比如说，你访问 google，google 使用的是 GeoTrust 颁发的证书，浏览器验证一下，发现没有问题，便允许你连接它。现在，一个中间人，把 Google 发来的证书掉个包，变成 XXX 颁发的证书（当然这个中间人得直接获得 XXX 的同意才有这个假证书），而你的浏览器认为 XXX 也是可信任的，便信以为真，你和中间人的整个连接将使用 XXX 的证书进行加密。中间人便偷到了你的数据，再伪装成你去和 Google 的服务器进行通讯。这样，你的 gmail 里面有什么，中间人就一清二楚了。

结论：添加一个新的根证书带来的风险是：证书颁发者，或其直接授权者对你和你所访问的其它网站之间的加密连接可以进行中间人攻击。当然，证书颁发者没事攻击自己干什么？你的支付宝是没有风险的，但是你的其它服务，就会面临掌握根证书的人的攻击风险。

对策：

既然没了这东西，你的支付宝可能要不能用。那么我的建议是：你如果认为自己有受监控的可能，就用一个虚拟机装支付宝，主要系统删掉这个证书机构；如果你认为自己不会受监控，行为堂堂正正，就什么也不用管。我个人是不怕监控的，所以我就不删了。

知乎用户 王宁 发表

12306 支付环节的

https://epay.12306.cn

是 VeriSign 颁发呵呵。

知乎用户 谭磊​ 发表

首先，根证书体系是一个广泛认可并且通行的做法，支付宝需要遵守这个游戏规则，只有守规则你的信用才能被世界认可。就好比有了国家法律，你说我不遵守，我守我支付宝自己的法律一样，也许你的法律更加严格，但是出了门，别人不认可。再者，支付宝是否有权和有能力颁发根证书，如果有，做认证去，成为一家国际通行的证书颁发机构，如果没有，那还有什么好说的，有多远滚多远。最后，未经许可或提示，私自注入根证书，视同后门操作。鄙视之

知乎用户 东门吹水 发表

Ghost Assassin：天朝颁发的网络证书一览表

仅供参考，个人觉得尤其要注意**沃通 /WoSign** 这些假洋鬼子……

Corporation Root CA // 支付宝安全控件带入

CFCA Operation CA // 中国金融认证中心，<http://www.cfca.com.cn>，由某些网银插件带入

CFCA Operation CA2

CFCA Policy CA

CFCA Root CA

China Trust Network // 天威， http://www.itrus.com.cn/

CNNIC ROOT // 不解释

iTruschina CN Enterprise Individual Subscriber CA // 天威

iTruschina CN Root CA-1

iTruschina CN Root CA-2

iTruschina CN Root CA-3

UCA Root // 上海市数字证书认证中心，这个已经通过 WebTrust 认证， http://www.sheca.com

UCA Global Root

ROOTCA // 中府的交叉根证书，安装国内 CA 的相关软件也带进来，自签发证书， http://www.rootca.gov.cn/

WoSign Premium Server Authority // https://www.wosign.cn/

WoSign SGC Server Authority

http://Tenpay.com Root CA // 腾讯财付通的根证书

Corporation Root CA

Alipay Trust NetWork

China Internet Network Information Center EV Certificates Root

申请标准证书花不了多少钱，个个非要自己签发根证书。我只能阴谋论的认为某下限 gov 会在需要时用它来中间人攻击。?

源地址：https://plus.google.com/109790703964908675921/posts/DmZca2RVdTS

具体删除文件

-– - 2016-10-08 11:52:36.671005451 +0800

+++ /etc/ca-certificates.conf 2016-10-08 11:48:00.227863655 +0800

@@ -24,15 +24,15 @@

mozilla/CA_Disig.crt

mozilla/CA_Disig_Root_R1.crt

mozilla/CA_Disig_Root_R2.crt

-mozilla/CA_WoSign_ECC_Root.crt

-mozilla/CFCA_EV_ROOT.crt

-mozilla/CNNIC_ROOT.crt

+!mozilla/CA_WoSign_ECC_Root.crt

+!mozilla/CFCA_EV_ROOT.crt

+!mozilla/CNNIC_ROOT.crt

mozilla/COMODO_Certification_Authority.crt

mozilla/COMODO_ECC_Certification_Authority.crt

mozilla/COMODO_RSA_Certification_Authority.crt

mozilla/Camerfirma_Chambers_of_Commerce_Root.crt

mozilla/Camerfirma_Global_Chambersign_Root.crt

-mozilla/Certification_Authority_of_WoSign_G2.crt

+!mozilla/Certification_Authority_of_WoSign_G2.crt

mozilla/Certigna.crt

mozilla/Certinomis_-_Autorité_Racine.crt

mozilla/Certinomis_-_Root_CA.crt

@@ -40,7 +40,7 @@

mozilla/Certum_Root_CA.crt

mozilla/Certum_Trusted_Network_CA.crt

mozilla/Chambers_of_Commerce_Root_-_2008.crt

-mozilla/China_Internet_Network_Information_Center_EV_Certificates_Root.crt

+!mozilla/China_Internet_Network_Information_Center_EV_Certificates_Root.crt

mozilla/ComSign_CA.crt

mozilla/Comodo_AAA_Services_root.crt

mozilla/Comodo_Secure_Services_root.crt

@@ -86,7 +86,7 @@

mozilla/Go_Daddy_Class_2_CA.crt

mozilla/Go_Daddy_Root_Certificate_Authority_-_G2.crt

mozilla/Hellenic_Academic_and_Research_Institutions_RootCA_2011.crt

-mozilla/Hongkong_Post_Root_CA_1.crt

+!mozilla/Hongkong_Post_Root_CA_1.crt

mozilla/IGC_A.crt

mozilla/IdenTrust_Commercial_Root_CA_1.crt

mozilla/IdenTrust_Public_Sector_Root_CA_1.crt

@@ -128,9 +128,9 @@

mozilla/Starfield_Class_2_CA.crt

mozilla/Starfield_Root_Certificate_Authority_-_G2.crt

mozilla/Starfield_Services_Root_Certificate_Authority_-_G2.crt

-mozilla/StartCom_Certification_Authority.crt

-mozilla/StartCom_Certification_Authority_2.crt

-mozilla/StartCom_Certification_Authority_G2.crt

+!mozilla/StartCom_Certification_Authority.crt

+!mozilla/StartCom_Certification_Authority_2.crt

+!mozilla/StartCom_Certification_Authority_G2.crt

mozilla/SwissSign_Gold_CA_-_G2.crt

mozilla/SwissSign_Platinum_CA_-_G2.crt

mozilla/SwissSign_Silver_CA_-_G2.crt

@@ -167,8 +167,8 @@

mozilla/Verisign_Class_3_Public_Primary_Certification_Authority_2.crt

mozilla/Visa_eCommerce_Root.crt

mozilla/WellsSecure_Public_Root_Certificate_Authority.crt

-mozilla/WoSign.crt

-mozilla/WoSign_China.crt

+!mozilla/WoSign.crt

+!mozilla/WoSign_China.crt

mozilla/XRamp_Global_CA_Root.crt

mozilla/certSIGN_ROOT_CA.crt

mozilla/ePKI_Root_Certification_Authority.crt

知乎用户 Reagan 发表

我靠~ 2013 年的问题都能整出来~ 看来对支付宝下死手了

最近余利宝利率一直下降~ 再下降我就退出了

知乎用户 社会主义镐把子 发表

搞安全的不要去阿里，

要么抢月饼被开，要么被钉在信息安全的耻辱柱上

知乎用户 janlay 发表

上面洋洋洒洒说了那么多，都没有触及到本质问题。所谓个人信息安全，你以为国家犯得着用这么麻烦的手段么？Too simple, CIA / NSA 直接找 Yahoo / Google 索要用户信息的段子没听过？

**为什么国内公司都要安装自己的根证书？
**事实是，要为用户签发证书，你就必须具备 CA 资格，走正常的证书链申请流程，你很难获得这一资格。所以各厂商就搞自签名根证书咯，使用自签名证书也是基于信任的，简单地说，如果你无法信任支付宝的安装程序，请不要使用。

删除某个厂商的根证书将导致无法安装或更新数字证书。

**12306 则是另外一个问题。
**12306 无需给用户签发证书，所以根本不需要搞自签名的根证书。

@Fenng

曾经发起过一个给 12306 捐证书的活动 (

Fenng 的微博 | 新浪微博

)，只要买个便宜的证书就够了，购买者只需证明网站为自己所有即可。

update: 获得 CA 资质有多难？

经

@lepture

同学提醒，Google 已经获得了 CA 资质（请访问

Google

了解细节）。商业公司能牛逼成这样，全世界也没几家。以前 Google 证书都是一个叫 Thawte 的 CA 颁发的。国内具备 CA 资质的公司好像有一两家，都是有国家背景的（当然 CNNIC 也获得了）。

想象一下，在一个具有普世价值的环境里，你说你想给别人发证书，你得具有多强的权威性？这对普通商业公司很难做到。

update again: To

@Ivony

呵呵，我在一楼（目前）回答里面评论了一句：

「ROOTCA 是国家的」，同学你说话要负责任哦，信口开河图一时爽快有意思么？

就收到了默默删除 ＋ 屏蔽本人 的待遇：

同学，你的气度呢？

知乎用户 天国的 502​ 发表

换个容易理解的人话。

有个叫 “支付宝” 的人摆摊，你在他那里买东西的时候，他拿过你的手机来，告诉你帮你操作，然后把自己的指纹人脸都录入进去了，但是不告诉你。

你以为这就完了？这根本无法形容这件事。因为手机你可以揣在自己兜里，只有物理接触的时候，指纹和人脸才有用。

但是电脑可是联网的，相当于你的电脑已经变成了支付宝的形状。

NTR 狂喜

知乎用户 王矗 发表

update 2013 13 20 16 22

衡量下自己要传输的价值和需要保密的手段。

==============

OSCCA 是国密局吧。

各地地方 CA 就是国密局签出来的吧。

这个体系是可信的。

知乎用户 阿尔萨斯​ 发表

这样的技术问题，才是在知乎上愿意看到的问题。

知乎用户 Matian 发表

排名第一的回答怎么说呢，原理讲的确实很透彻，但是你忽略了信息安全社会工程学的部分。

首先，你觉得 alibaba 在耍流氓给你私自装根证书，其实只是没有预装在操作系统里罢了，windows 预装了很多根证书，但是没有一家是中国的。这点可以理解吧，如果你需要进行整个安全体系的部署，却需要受制于一家国外的公司，其中的安全风险有多少呢。

其次，你为什么不信任 alibaba 颁发的证书，却对 verisign 的证书情有独钟呢？本质上这两者无差别，只不过 verisign 在业界做的确实规范、安全。alibaba 由于这并不是它的主要业务，所以并没有以此为赢利点，并没有大家宣传。

第三，证书体系的理论研究已经非常透彻了，利弊都可以在文献中可查阅。所以由他家来做根证书从安全风险上并不比具有根证书资质的公司差到哪里。

知乎用户 Siyyn 发表

说实话，上面基本没看懂！小白用户只想问一句，有人知道 Mac OS 中的控件也偷偷安装了嘛？

知乎用户 李文琳 发表

阿里塞了三个根证书，腾讯也塞了一个，很好发现，点预期目的是 “所有” 的，除了微软就是它们了，脸太大，藏不住

知乎用户 猪神 发表

其实工行也添加了根证书，为何没人翻出来说呢

知乎用户 GOA CHEN 发表

你（用户）和铁路之间的通信内容必然是铁路知道的，包括你在 12306 网站的用户名密码购票信息等，铁路有必要再制造一个假证书来截留你和铁路通信的数据吗？12306 网站生成证书就是用语加密用户与 12306 的数据通信，这些加密都是为了不使第三方破解通信的内容，什么是第三方？第三方就是黑客、流氓软件、中间路由等等想知道你银行卡密码的一些人，第三方一旦知道了你和铁路的通信内容，就会导致你的损失，这也是最近的新闻〈12306〉密码失窃的重大影响，已经有新闻指出，因为你（用户）滥用抢票软件（信任流氓软件），导致你在 12306 的用户信息被第三方掌握，这就是泄密的原因。

没有真正安装根证书的人则不会知道的更详细。旧的 12306 证书错误是因为证书签名的网址和当前访问的网址不对应，导致网站不受信任。现在这个问题已经修正了。

没安装 12306 的根证书会出现上图。

根安装过程如下：

1）打开 certmgr.msc

2）选受信任的根证书一栏。

3）选菜单：任务 -> 导入：选择 12306 的根证书：srca.cer，出现下面窗口。

提示说系统无法确信这个根证书是不是真的是从 12306 那里得到。（这里存在一个安全隐患，后面详细分析）

4）在 12306 的证书安装指南里指导你在上面这个窗口里选” 是 (Y)"，于是证书安装完毕。

5）可以查看 12306 的证书，有效期从 2009/5/25 到 2029/5/20

上面这张图表明，srca 是顶级根证书。

6）12306 网站再打开是下面图片：

现在 12306 存在的一个安全隐患是：根证书的分发问题。这个根证书，通过网络下载而来，你不知道它是不是真的是从 12306 网站那里传输过来的，这时候就产生了中间人攻击的可能性，但只是可能，实际上没那么慌，可能性几乎等于零。

这个网址列出了中间人攻击的详细解释：****老掉牙的 12306 根证书问题可导致中间人攻击（附攻击方法）

简单说中间人攻击就是黑客伪造一个证书，文字信息和 12306 的根证书一样，欺骗终端用户（你）去下载（有很多办法，比如第三方网站上提供下载；或者利用 DNS 污染，让你跳到一个错误的钓鱼网址去下载；qq 传输等），并让用户误以为是 12306 的证书并安装到 “受信任的根证书 " 里去。当用户安装了假的根证书以后，黑客还要利用 dns 污染之类的方法，让用户试图访问 http://kyfw.12306.cn 的时候，跳转到一个钓鱼网址（错误的 ip 地址），然后才能套取用户的登录密码。这种攻击可能在用户通过公共 wifi 服务上网的时候出现，当你登入到一个不知道是不是可信的 wifi 热点的时候，数据有可能被黑客在路由上做手脚。

实际上要实现上面的攻击，不是那么容易。假设你已经安装了正确的 12306 根证书，但黑客把你导向一个钓鱼网站（伪造的 12306)，这时就会出现：

因为你没有安装黑客伪造的根证书，所以又会指示你重新安装根证书（假的）。或者黑客网站根本不要求你访问的时候用 https，那就没证书问题了。

实际上国内很多网站都有自签名的根证书，比如支付宝:

比如 CNNIC，中国互联网信息中心

这些根证书都不是预先安装在 windows 系统里的。所以证书的来源有被黑客利用的可能。

解决证书可信度的办法有几条要点：

1）这个提示框里红圈处提供了证书指纹，所以只要真正的 12306、支付宝等网站在它的页面提供根证书的指纹，你可以通过对比你得到的证书的指纹是不是和网站上提供的一样，来确定证书的真实性。

2）安装根证书不要在第三方网络环境里进行，也就是说不要在公共网吧、公共 wifi、未知热点等场所下载和安装证书。可信的网络环境有 3G、4G 联网，家里独享带宽的光纤或 ADSL 线路。

3）避免在个人电脑里安装第三方来路不明的，不可信的软件。

4）手机生产商在安卓手机里预先安装 12306、阿里巴巴等网站的证书。

遵循以上这些准则，黑客发起中间人攻击的可能行就没有了。

知乎用户 天猫 Skycat 发表

流氓家的软件都是扔在虚拟机。

知乎用户 cdh1076 发表

这是八年前的问题，当年这种做法很常见，中国国家机构 CNNIC 亲自做榜样

由于有 CNNIC 这种榜样的存在，支付宝如果不加根证书，真的是没法保证账户里的金钱安全

可能现在有的温室里的花朵不清楚，当年的网络世界真的是个神仙打架，法师对轰的世界

知乎用户 刘大铁棍 发表

架一把锋利无比的菜刀在你的脖子上，在它划伤你之前你居然觉得这把刀没啥威胁。。。

可笑的逻辑。

“如果故事里出现了手枪，那它一定会被击发。”

知乎用户 经纪人张冬冬 发表

我想他们是不约而同，背后有只黑手在操作吧，目的？自己想

知乎用户 陆户习习门 发表

这个问题提出来的时候，我甚至没有开始用知乎。

知乎用户 张林峰 发表

此文让我联想起了前段时间的：微支付、微商店 VS 马云

知乎用户 Eric Gu 发表

就两件事：1、安全体系失控 2、这是偷偷摸摸干的 具体见排名第一的答案~

知乎用户 money os 发表

看来我得赶紧把我那机器上面支付宝插件给枪毙了，在 virtualbox 里面用

知乎用户 匿名用户 发表

连裤衩都没有穿还有脸出来讲安全！！！你叫或者不叫监控就在那里。

知乎用户 杜琴 发表

支付宝的客户端证书确实是 “偷偷” 安装了根证书的，因为他的根不受微软邓浏览器的信任，如果不 “偷偷” 安装，查看客户端证书时就会出现不受信任的提示。几年前，支付宝的客户端证书好像出现一次严重事故，因为证书用途没有细分，客户端证书居然还有签名 exe 等程序的功能，被用来签名恶意软件了。

知乎用户 js xs 发表

马爸爸：让用户享受支付宝根证书是福报

知乎用户 想不出用户名 发表

原来是 8 年前的事情，现在很简单，用手机 app

知乎用户 火星大能猫 发表

看了下日期，8 年前了

知乎用户 小柜子哥哥 发表

国家密码管理局，简称 OSCCA。

知乎用户 祭夙玉 发表

12.21 修改，，手机编辑的有点逻辑混乱 %>_<%

首先肯定有危害的说法。

然后感谢

@Ivony

的回答，确实涨知识了，O(∩_∩)O。

这个问题的关键在于支付宝私自添加根证书，是否有危害，危害大不大，对吧。

如果支付宝网站的服务器不被黑的话，应该不会通过此途径黑我们的电脑，而且别人想黑你的话，肯定比黑那些企业的简单多了 ，

@大风

道哥对这个问题应该有自己独特的看法，希望大神分享一下 ，再者支付宝这个财神，肯定会赔偿你的损失嘛……

所以，感觉这个东西是可有可无的东西。

另外就是隐私问题。

所以，题中有个关键词 “私自”。所以大家突然听到就感觉很不爽了。

当然这也是大家隐私意识的提升，这点值得肯定。

但每天，你的周围那么多摄像头，那么多眼睛，甚至头顶上的卫星可以清晰的看到你，难道你就不出门了么？

网络世界在现行的法制下，更是很难有边界的。所以，网络上那些事，笑笑就过去吧。想想明星们的生活，你就偷着乐吧。

隐私尽量不要放在网上就好了。

我想表达的是没必要那么杞人忧天（不要听到核辐射，就想跑去买食盐。不要三人论虎就成虎，或许只是只霸气的猫呢，做什么都要有自己主见，不要随波逐流。然后把心思放到自己该放的那一块上。术业有专攻，人人先把自己的事做好了，再把自己不会的事给擅长的人做，这样才是效率高的方法。

以下纯属虚构，博君一笑。

支付宝不好，可以不用。
360 流氓，可以卸载。
虽然自己手机，电脑里塞满了支付宝钱包，天猫，360 等一系列产品，也似乎先暂时忘记了。

然后便是一场狂欢，向周围炫耀般的吐槽，好像自己发现了新大陆一般。

心满意足 hi 够后，又继续心安理得的享受着那些免费的服务。
如果可以你可以先卸载完这些软件，然后最好可以找到一些超越它的替代品。

那还是比较有骨气，有说服力，不会耽误大家的时间。
那些发烧友孩纸是在迷糊的为替代品铺路么？

巨头打架，吾等还是闪开点好。对于那些乐此不疲的孩纸，还是先摆正自己吧。把自己分内的事做好。还有那些搬小板凳看戏，添油加火的同学。小心耽误了自己的时间，期末挂科哈)(^_^)Y
习大大说的好，不造谣，不传谣，空谈误国。
作为一个听众，抑或作为一个自媒体时代的传播者。我们应该要有自己的主见和坚守。这是最起码的要求。一屋不扫，何以论天下。
Bye bye. 学生狗再不预习就要挂科了。

知乎用户 匿名用户 发表

这有啥危险不危险的。

支付宝是怎么把这张根证书加进操作系统的？

是不是因为安装支付宝插件的时候弹出的 UAC 窗口你点了是，赋予其管理员权限了。

那一切危险的根源难道不是你给一个软件授予了管理员权限吗？

那现在国内的软件哪一个安装的时候不需要管理员权限？

有些软件甚至每次运行的时候都会申请管理员权限。

更过分的是有些软件在安装的时候会把带有管理员权限的服务加入开机启动项，这样在每次开机之后它就会自动获取到管理员权限。

所以一旦用户授予了软件这个权限，其实就是把整个系统的控制权都给了软件。这才是真正危险的事情。

而这种事情我们都已经习以为常了，所以证书什么的，也没有多危险。

知乎用户 CrystalPot 发表

看标题还以为是手机，心想现在技术这么 nb 了吗。

仔细一看是 PC 端，合不合理先不说，这不是网银类的常规操作了么

知乎用户 Zh Min 发表

看来只有期望 ios 和 apple pay 来教婊做人了。。。

最简单好用的 VPS,没有之一，注册立得 100 美金