有没有人跟我一样,当初被蓝灯安装了数字证书?

很久以前的事情了。当时我没敢说。
有一次蓝灯更新完成之后,弹出一个英文的提示框。大意是说完成最后一步,享受自由互联网。点OK之后弹出导入证书的提示。
一开始我是点取消的,但是点取消之后提示仍然弹出来。最后我就点了导入。
后来一想不对啊,这不是“中间人攻击”么?导入“受信任的根证书”的话,蓝灯不就能监视我的所有翻墙流量了??

可是已经晚了。当时我没有留意导入证书的名称。去系统证书管理里看,也不知道该删除哪一个。
我不知道怎么筛选出“非系统自带证书”或者“最近安装的证书”。
最后只能通过“彻底重装系统”的方式来去除隐患。

这件事发生在很久以前,当时蓝灯在github上的issues讨论区还在。不过好像没看到有人提及安装证书的问题。而且只是一个版本会这样,之后再更新的版本又不会诱导用户导入证书了。(但是不排除之后的版本会利用上之前已经导入的证书啊。)
有人遇到和我一样的情况么?
3
分享 2020-12-09

1 个评论

我最近也在查我电脑里的不安全证书,其实你英语好一点的就可以看出来的呀。 
在控制面板里面搜索证书 就可以管理删除了。  你看它签发的机构不久知道了吗 
蓝灯在我电脑里证书里是lanten 后面XXX的 你看他颁发机构就知道了。   
类似还要删除的还有China Internet Network Information Center著名的中国互联网管理中心,还有ALIPAY_ROOT阿里支付证书这些,查下单词就可以大概知道是啥公司办法的了。 
更深一点,风险主要有两点,一个是中间人攻击,另外一个是这些证书的权限。在后面一栏预期目的那里就可以看到一般都是客户端身份验证,代码签名,服务器验证等等,但是又一些权限要求的非常高,是所有。 
NVIDIA gamestream server  microsoft root authority  这种英伟达跟微软需要的那是合情合理,我之前goagent XX-net 一种代理翻墙的也需要所有权限,但是这里面就要非常注意,因为权限(你可以点击属性 修改去里面看看)里面有内嵌windows组件验证,也就是如果你给了这个权限,如果你从其他国内渠道下载了比如经过人恶意修改的微软补丁,然后打上CNNIC的证书,在系统看来这代码是合法的。 
以上希望对你有所帮助,

要发言请先登录注册

要发言请先登录注册

发起人

状态

  • 最新活动: 2020-12-22
  • 浏览: 3389