使用软件数字证书限制全家桶

转自pcbeta

一家软件公司都有自己的数字签名,其中国内的几大流氓,最近常见的某度全家桶,某361全家桶,某hao123和某2345,等等,你只要找出其中一个公司的某个产品的原始安装包,自己去官网下载,然后导出证书,在本地安全策略里面通过证书限制软件运行就可以再也不用担心中招了。

但是这个具有一定局限性,比如你限制了UC浏览器的规则,结果这个居然是阿里家的,导致整个阿里系产品都运行不了。

继续阅读

Windows 7证书管理安全策略

系统中存在铁道部12306.cn等第三方CA的根证书,将会大大增加受到中间人攻击的可能性。铁道部的私钥必然对XX是公开的,GFW完全有能力通过铁道部的私钥来实现对所有导入了铁道部CA根证书的用户的中间人攻击,让普通用户的HTTPS加密流量完全暴露给GFW。而装了支付宝流氓控件,会不带提示的给系统增加一个OSCCA(国家商用密码管理办公室)的ROOTCA。

1. 证书大扫除

运行certmgr.msc,删除除不信任证书 (Untrusted Certificates) 外的所有证书。

下载并运行
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe

运行后微软信任的证书又回来了,但是CNNIC证书也在里面,接下去处理。

继续阅读