将CNNIC证书清出Chromium for Linux

Tiger Soldier posted @ 2010年2月03日 02:13 in linux with tags CNNIC chromium chrome , 9185 阅读

update：发现还需要禁用entrust的证书，但是entrust被内建在chromium里了，有什么办法能禁用它呢……

这就是所谓的“老鼠过街，人人喊打”吧。

废话少说，进入正题。由于Chromium在Linux上使用的是系统的证书，所以要使用系统自带的工具来清除。

具体方法参考自http://code.google.com/p/chromium/wiki/LinuxCertManagement

安装工具

Ubuntu/Debian：

1	`sudo` `apt-get` `install` `libnss3-tools`

Fedora：

1	`su` `-c` `"yum install nss-tools"`

Gentoo：

1	`su` `-c` `"echo 'dev-libs/nss utils' >> /etc/portage/package.use && emerge dev-libs/nss"`

Opensuse：

1	`sudo` `zypper` `install` `mozilla-nss-tools`

列出证书

1	`certutil -d sql:$HOME/.pki/nssdb` `-L`

在我机子上结果如下：

Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI ………………………… Starfield Secure Certification Authority #2 ,, CNNIC SSL ,, VeriSign, Inc. ,, ……………………

删除证书

将CNNIC赶出系统：

1	`certutil -d sql:$HOME/.pki/nssdb` `-D -n` `"CNNIC SSL"`

完成后再列出证书，可以发现没有CNNIC的身影了。

重启Chromium，登录CNNIC认证的一个网站：www.enum.cn/en/，是不是已经不受信任了？

一些补充

在Gentoo下，要将certutil命令改为nsscertutil
此方法只是删除CNNIC证书，目前我并不清楚它会不会又回到系统中。如果有将其彻底屏蔽的方法，请告诉我

相关文章
全局相关文章

在Chromium for Linux里使用Flash

[回复]

獨立的圓说:
15 年前

好文章。
我用gentoo，即使什麼都沒干，打開www.enum.cn/en/也提示不受信任。
certutil的輸出也沒有CNNIC

[回复]

Tiger Soldier 说:
15 年前

@獨立的圓: 还有漏洞，见我update那里，正在研究怎么修补
看来你的gentoo含有CNNIC补丁呀

[回复]

ccc 说:
15 年前

the cert of cnnic has been disabled in chromeplus browser linux version

[回复]

roy_hu 说:
15 年前

我的Arch只有如下这些，CNNIC到底是哪个包加上的呢？
Thawte SGC CA
Google Internet Authority
VeriSign Class 3 Extended Validation SSL SGC CA
VeriSign, Inc.
VeriSign Class 3 Secure Server CA
Microsoft Secure Server Authority
Microsoft Internet Authority
Google Internet Authority

[回复]

roy_hu 说:
15 年前

奇怪，访问https://www.enum.cn/en/ 却表明Chrome是信任CNNIC的证书的。

[回复]

roy_hu 说:
15 年前

找到一个讨论 http://groups.google.com/group/shlug/browse_thread/thread/974d6fd56e31b051，要到mozilla的证书目录里面删掉

将CNNIC证书清出Chromium for Linux

安装工具

列出证书

删除证书

一些补充

四圣兽★白虎

Email

分类

标签云

热门文章

最新评论

最新留言

友情链接

浏览计数器

功能