值得警惕的四个火狐和雷鸟的根证书

[expl]

新启用的火狐实例(firefox 完全符合W3C标准的浏览器，也开放原始码)或者雷鸟实例(thunderbird 电子邮件客户端，也开放原始码)第一步：打开设置(setting)界面->隐私和安全(Privacy & Security) 往下拉找到数字证书(Certificates) 点管理证书(Manage Certificates…)按钮，在弹出的界在里面选最后一个选项卡(Authorities)，往下拉，分别找到
BEIJING CERTIFICATE AUTHORITY 下面的两个 BJCA Global Root CA1 和 BJCA Global Root CA2
和
China Financial Certification Authority 下面的一个 CFCA EV ROOT
和
Hongkong Post 下面的 Hongkong Post Root CA 3
这四个根证书，每点击它们中的一个就点击下方的 Edit Trust... 按钮，去掉 此证书可用来验证网站 前面的勾 英文界面的话会显示为 This certificate can identify websites. 然后点OK或者确定后，继续下一个，直到四个全修改完。



注：做完这些操作后不久你就会发现有可能会频繁的跳出让你确认安全例外的对话框，这是软件检测到了数字证书不对发出的警告。换句话说你正在遭受中间人攻击。那为什么没做这些操作之前不会提示呢？这与现在证书证书的验证机制有关，当一个证书的根证书被信任时，就可以通过验证。例如某个网站的数字证书被中间人篡改了，如果被篡改后的证书指向的根证书没有在客户端的信任体系里就会触发警告，而如果被篡改后的证书指向的根证书也在客户端的信任体系里，那么就会用那个根证书通过验证从而不会触发警告，但这并不是正确的方式，因为信息已经被中间人篡改过了。

强烈建议 mozilla，将这四个证书从信任库中删除。