将CNNIC证书清出Chromium for Linux

update：发现还需要禁用entrust的证书，但是entrust被内建在chromium里了，有什么办法能禁用它呢……

这就是所谓的“老鼠过街，人人喊打”吧。

废话少说，进入正题。由于Chromium在Linux上使用的是系统的证书，所以要使用系统自带的工具来清除。

具体方法参考自http://code.google.com/p/chromium/wiki/LinuxCertManagement

安装工具

Ubuntu/Debian：

sudo apt-get install libnss3-tools

 Fedora：

su -c "yum install nss-tools"

Gentoo：

su -c "echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"

Opensuse：

sudo zypper install mozilla-nss-tools

列出证书

certutil -d sql:$HOME/.pki/nssdb -L

在我机子上结果如下：

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI
…………………………
Starfield Secure Certification Authority #2                  ,,   
CNNIC SSL                                                    ,,   
VeriSign, Inc.                                               ,,   
……………………

删除证书

将CNNIC赶出系统：

certutil -d sql:$HOME/.pki/nssdb -D -n "CNNIC SSL"

完成后再列出证书，可以发现没有CNNIC的身影了。

重启Chromium，登录CNNIC认证的一个网站：www.enum.cn/en/，是不是已经不受信任了？

一些补充

• 在Gentoo下，要将certutil命令改为nsscertutil
• 此方法只是删除CNNIC证书，目前我并不清楚它会不会又回到系统中。如果有将其彻底屏蔽的方法，请告诉我

• 相关文章
• 全局相关文章