为什么我的 Google、Yahoo、Mozilla 和其他公司的证书不受信任？

Question

在 chrome://chrome/settings 的 HTTPS/SSL 部分，我看到以下内容： 这是什么意思，有什么问题吗？

我对 SSL/TLS 有基本的了解 - 我并不是说完全熟悉，但我相当有信心我知道自己的方法 - 但我不明白为什么我的机器上安装了专门用于这些的证书网站。

根据我的理解，我应该拥有证书颁发机构的证书，并且我访问和使用 SSL/TLS 的任何站点都应该具有由这些受信任的 CA 之一签署的证书，以便我信任该站点。

我担心的是，如果有人在我的机器上为这些站点恶意安装了证书，他们可能会执行 DNS 欺骗攻击（或许多其他攻击）以在我不知道的情况下劫持我与电子邮件帐户的连接，因为他们已经在我的机器上获得证书的私有副本，解密通信。

注意：我也知道 CA 证书不仅在 Chromium 中，而且作为 libssl 的一部分在系统范围内使用 - 它们存储在/etc/ssl/certs.

我想知道的是：

• 这样对吗？- 大红盒子让我觉得不
• 这是恶意的还是良性的？
• 我能做些什么来解决这个问题？（如果确实有问题）

谢谢 ：）

Answer 1

这是一件好事。这些证书被撤销，通常是因为有人为他们不拥有的实体申请/获得了证书（私钥），可用于模拟。您系统上的已撤销证书列表基本上是告诉您的系统不要信任这些证书。

证书通常用于识别网站，这取决于发行者不将其发行给其他人。您屏幕截图中的这些证书被列为欺诈或不受信任，因为发行人犯了错误，必须告诉所有人不要信任他们已经签署的证书。有时，创建受信任列表的组（例如您的操作系统/浏览器开发人员）可能会手动将证书添加到不受信任列表中，这可能是因为颁发者需要很长时间才能这样做。

有关更多信息，请参阅：公钥证书和吊销列表