【Github项目备份】全自动可疑证书吊销工具(chengr28)
新买了电脑想清除和禁用一下中国的不可靠证书,发现收藏的
https://github.com/chengr28/RevokeChinaCerts
已经被删除了。红色恐怖真是猖獗,不知道作者有没有被喝茶……
好在今年年初下载过项目的所有文件,现在重新分享一下以备有需求的网友使用:
https://github.com/vpxuz/RevokeChinaCerts
(下载备份的压缩包RevokeChinaCerts-0.1.0.1-bin.7z,使用方法请解压后阅读其中的.md文件)
也希望大家看到有用的软件、工具和文章时积极备份共享,匪帮可以控制人们的肉身,但永远不能扼杀自由的思想!
https://github.com/chengr28/RevokeChinaCerts
已经被删除了。红色恐怖真是猖獗,不知道作者有没有被喝茶……
好在今年年初下载过项目的所有文件,现在重新分享一下以备有需求的网友使用:
https://github.com/vpxuz/RevokeChinaCerts
(下载备份的压缩包RevokeChinaCerts-0.1.0.1-bin.7z,使用方法请解压后阅读其中的.md文件)
也希望大家看到有用的软件、工具和文章时积极备份共享,匪帮可以控制人们的肉身,但永远不能扼杀自由的思想!
15 个评论
阅读了.md文件后依然云里雾里…… 又不是人人都是IT人士,你就不能来个简易的操作讲解…… 会说话就多说点……
有网友说看不懂怎么用,考虑到大部分同志用的应该都是Windows系统,就拿Windows系统上的实行方法举例
首先解压下载的压缩文件(解压软件可以从https://www.7-zip.org/官网下载,免费),假设是在D盘的根目录下解压,现在就得到一个文件夹
D:\RevokeChinaCerts-bin
运行Windows系统自带的cmd.exe(开始→运行→输入“cmd”按回车键),在打开的窗口里执行下列命令即可
cd D:\RevokeChinaCerts-bin\Windows
RevokeChinaCerts_Online.bat 3
RevokeChinaCerts_Firefox.bat 3
RevokeChinaCerts_CodeSigning.bat 3
RevokeChinaCerts_Organization.bat 3
首先解压下载的压缩文件(解压软件可以从https://www.7-zip.org/官网下载,免费),假设是在D盘的根目录下解压,现在就得到一个文件夹
D:\RevokeChinaCerts-bin
运行Windows系统自带的cmd.exe(开始→运行→输入“cmd”按回车键),在打开的窗口里执行下列命令即可
cd D:\RevokeChinaCerts-bin\Windows
RevokeChinaCerts_Online.bat 3
RevokeChinaCerts_Firefox.bat 3
RevokeChinaCerts_CodeSigning.bat 3
RevokeChinaCerts_Organization.bat 3
我也沒弄清楚是什麼意思。根目錄下的.md文件是這樣講的:
Windows目錄下的.md文件是這樣講的:
好像大致的意思是私人計算機的話,有時候上中共背景的網站需要下載證書。而這樣的中共背景證書可能有害,所以設計了批處理文件將其證書吊銷。
我不理解的是,既然中共背景的證書既然有害,全部清除就好了。為什麼批處理文件還加一個恢復功能呢?
RevokeChinaCerts
==============
Revoke China Certificates.<br />
全自动可疑证书吊销工具/全自動可疑憑證撤銷工具<br />
### Releases
[](https://github.com/chengr28/RevokeChinaCerts/releases/latest)<br />
Please visit above link to download releases instead of using deprecated Download ZIP.<br />
请使用上面的链接下载,不要使用以前 Download ZIP 的方法/請使用上面的連結下載,不要使用以前 Download ZIP 的方法。
### Usage
不同平台用法参见以下链接/不同平臺用法參見以下連結:
* [Shared documents](https://github.com/chengr28/RevokeChinaCerts/tree/master/Shared/Documents)
* [Android](https://github.com/chengr28/RevokeChinaCerts/tree/master/Android)
* [Linux (experimental)](https://github.com/chengr28/RevokeChinaCerts/tree/master/Linux)
* [macOS](https://github.com/chengr28/RevokeChinaCerts/tree/master/Mac)
* [Windows](https://github.com/chengr28/RevokeChinaCerts/tree/master/Windows)
### Contributors
* [Android: Certificates Blacklisting - phoeagon](https://github.com/phoeagon/RevokeChinaCerts/tree/master/Android)
* [Linux: Automation tools - phoeagon](https://github.com/phoeagon/RevokeChinaCerts/tree/master/Linux)
* [macOS: Security-trust-settings-tools - ntkme](https://github.com/ntkme/security-trust-settings-tools)
* [Windows: SoftCertPolicyAppender - lhyqy5](https://github.com/lhyqy5)
### License
* Android: [Apache License](https://github.com/chengr28/RevokeChinaCerts/blob/master/Android/LICENSE)
* Linux: [Apache License](https://github.com/chengr28/RevokeChinaCerts/blob/master/Linux/LICENSE)
* macOS: [BSD 2-clause License](https://github.com/chengr28/RevokeChinaCerts/blob/master/Mac/LICENSE)
* Windows: [GNU General Public License/GNU GPL v2](https://github.com/chengr28/RevokeChinaCerts/blob/master/Windows/LICENSE)
### Thanks
* macOS: [Script to automatically disable - QuantumGhost](https://github.com/QuantumGhost/RevokeChinaCerts/tree/master/Mac)
* Windows: [BlockChinaSoftware - SCFWSE](https://github.com/SCFWSE/BlockChinaSoftware)
* Windows: [Local-Policy](https://bitbucket.org/MartinEden/local-policy)
* Windows: [UTLS-Blocker - SCFWSE](https://github.com/SCFWSE/UTLS-Blocker)
* Windows: [拉黑证书 让你的电脑再也装不上某些软件 附证书大全](https://typcn.com/legacy/blog/posts/ban-digital-cert.html)
Windows目錄下的.md文件是這樣講的:
RevokeChinaCerts on Windows
==============
### Introduction
證書分為兩大類型,請務必根據需要的情況選用:
* 線上證書:網路連接時所使用的證書
* Online - 對系統內置的線上證書資料庫進行吊銷/恢復操作的批次處理。
* Firefox - 對 Firefox NSS 的證書資料庫進行吊銷/恢復操作的批次處理。
* Update - 對系統內置的線上證書資料庫進行升級/重置操作的批次處理。
* 代碼和組織證書:軟體發行商所發行的軟體,以及組織和企業所頒發的證書
* CodeSigning - 對系統內置的代碼證書資料庫進行吊銷/恢復操作的批次處理。
* Organization - 對系統內置的組織證書資料庫進行吊銷/恢復操作的批次處理。
### Usage
* [線上證書](https://github.com/chengr28/RevokeChinaCerts/tree/master/Shared/Documents/ReadMe_Online.zh-Hant.md)
* [代碼和組織證書](https://github.com/chengr28/RevokeChinaCerts/tree/master/Shared/Documents/ReadMe_CodeSigning_Organization.zh-Hant.md)
### Parameter
批次處理可以根據傳入的參數,不需要人工干預下全自動完成對應的操作:
* 線上證書
* 運行 `xx.bat 1` 自動進行 Revoke Base version 操作。
* 運行 `xx.bat 2` 自動進行 Revoke Extended version 操作。
* 運行 `xx.bat 3` 自動進行 Revoke All version 操作。
* 運行 `xx.bat 4` 自動進行 Restore all Online revoking 操作。
* Firefox NSS 參數
* 運行 `xx.bat * ProfilePath` 在以上的操作基礎上同時定位 Firefox 個人資料的位置。
* 代碼和組織證書
* 運行 `xx.bat 1` 自動進行非軟體強制策略的吊銷操作。
* 運行 `xx.bat 2` 自動進行非軟體強制策略的恢復操作。
* 運行 `xx.bat * -f` 在以上的操作基礎上啟用軟體強制策略。
### License
GNU General Public License/GNU GPL v2
好像大致的意思是私人計算機的話,有時候上中共背景的網站需要下載證書。而這樣的中共背景證書可能有害,所以設計了批處理文件將其證書吊銷。
我不理解的是,既然中共背景的證書既然有害,全部清除就好了。為什麼批處理文件還加一個恢復功能呢?
求问这个项目是用来做什么的?还有原项目是不是搬到这里了https://github.com/JayXon/RevokeChinaCerts
有网友说看不懂怎么用,考虑到大部分同志用的应该都是Windows系统,就拿Windows系统上的实行...
bat不是可以双击运行的么?你在最后添加一行pause吧
不太懂技术
RevokeChinaCerts_Update.bat 这个 要联网的 假如这个工具包 是 个陷阱
那ip就都上传 一锅端了 一锅洋葱炒鸡蛋
RevokeChinaCerts_Update.bat 这个 要联网的 假如这个工具包 是 个陷阱
那ip就都上传 一锅端了 一锅洋葱炒鸡蛋
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
> 不太懂技术
>RevokeChinaCerts_Update.bat 这个 要联网的 假如这个工具包 是 个陷阱
>那ip就都上传 一锅端了 一锅洋葱炒鸡蛋
是联网更新证书黑名单啊(作者可能将证书文件放在GitHub
不放心可以用记事本看看bat里的内容
-----BEGIN PGP SIGNATURE-----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==
=1TGo
-----END PGP SIGNATURE-----
Hash: SHA512
> 不太懂技术
>RevokeChinaCerts_Update.bat 这个 要联网的 假如这个工具包 是 个陷阱
>那ip就都上传 一锅端了 一锅洋葱炒鸡蛋
是联网更新证书黑名单啊(作者可能将证书文件放在GitHub
不放心可以用记事本看看bat里的内容
-----BEGIN PGP SIGNATURE-----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==
=1TGo
-----END PGP SIGNATURE-----
1,什么是证书
证书就是密钥。用来保证中间无修改的加解密认证口令。密钥是成对的。
签发人用私钥加密,查看人用公钥解密。
2,什么是根证书
证书自己也需要保证可信,于是也需要认证。
操作系统就会内置可信的证书签发机构为证书提供验证。
能为证书签名的证书就是根证书。
3,为什么会有不受信任的根证书
如12306,使用了自签名证书,并未在信任机构备案,让你下载根证书导入。然后他自己的根就可以胡签,操作系统是信任你导入的。
4,实际意义?
其实没什么意义。
理论上能mitm攻击解密你的https内容。实际上不现实。
运营商都拿不到12306的证书解密。只是说国家有这能力,但是实际上除非你是超级危险分子,实时监控你,不然没意义。
不可能连接断了还能攻击找后账的。
举个例子,http运营商可以插广告。https运营商就插不了了。如果没证书,无法解密。如果有证书,整个插,得先解密再加密,但是性能损失根本承担不起的。
但是如果一个黑客专门针对你,和你同网,搞个自己根证书添加信任,确实是可以完整监控你而且看不出多大异样的。单个的性能损失是几乎可忽略的,并不像运营商那样天文数字并发性能下降。
也就是说在这方面,与其说防官方监控不如说是防盗窃财产。
5,要用全自动可疑证书吊销吗?
完全没有必要。
除非你手贱自己导入过根证书。
或者你电脑借出过没准谁给你加点料。。。不过我觉得有这水平给你弄个隐藏木马更简单。
像12306这种本来就不受信任。
过期或者泄漏证书操作系统会自己吊销[就ie能用上],Firefox和Google就压根不用系统证书(就是说那玩意只能吊销系统,FF和chrome被恶意导入根证书你也没辙)。FireFox证书本来就严格,Googlechrome强制你三个月升级证书也会升级。
最主要的是,如果不懂,根本不知道工具都干了什么,千万别手贱。觉得不安全就重做系统吧。工具的安全性远没系统高。
证书就是密钥。用来保证中间无修改的加解密认证口令。密钥是成对的。
签发人用私钥加密,查看人用公钥解密。
2,什么是根证书
证书自己也需要保证可信,于是也需要认证。
操作系统就会内置可信的证书签发机构为证书提供验证。
能为证书签名的证书就是根证书。
3,为什么会有不受信任的根证书
如12306,使用了自签名证书,并未在信任机构备案,让你下载根证书导入。然后他自己的根就可以胡签,操作系统是信任你导入的。
4,实际意义?
其实没什么意义。
理论上能mitm攻击解密你的https内容。实际上不现实。
运营商都拿不到12306的证书解密。只是说国家有这能力,但是实际上除非你是超级危险分子,实时监控你,不然没意义。
不可能连接断了还能攻击找后账的。
举个例子,http运营商可以插广告。https运营商就插不了了。如果没证书,无法解密。如果有证书,整个插,得先解密再加密,但是性能损失根本承担不起的。
但是如果一个黑客专门针对你,和你同网,搞个自己根证书添加信任,确实是可以完整监控你而且看不出多大异样的。单个的性能损失是几乎可忽略的,并不像运营商那样天文数字并发性能下降。
也就是说在这方面,与其说防官方监控不如说是防盗窃财产。
5,要用全自动可疑证书吊销吗?
完全没有必要。
除非你手贱自己导入过根证书。
或者你电脑借出过没准谁给你加点料。。。不过我觉得有这水平给你弄个隐藏木马更简单。
像12306这种本来就不受信任。
过期或者泄漏证书操作系统会自己吊销[就ie能用上],Firefox和Google就压根不用系统证书(就是说那玩意只能吊销系统,FF和chrome被恶意导入根证书你也没辙)。FireFox证书本来就严格,Googlechrome强制你三个月升级证书也会升级。
最主要的是,如果不懂,根本不知道工具都干了什么,千万别手贱。觉得不安全就重做系统吧。工具的安全性远没系统高。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
>1,什么是证书证书就是密钥。用来保证中间无修改的加解密认证口令。密钥是成对的。签发人用私钥加密...
FF用的是内置证书库,Chrome会调用系统证书
而且这个工具也可以吊销FF内的证书
https://i.loli.net/2020/04/23/6bYvNkn3weLdTIH.png
>运营商都拿不到12306的证书解密。只是说国家有这能力,但是实际上除非你是超级危险分子,实时监控你,不然没意义。
不可能连接断了还能攻击找后账的。
??
-----BEGIN PGP SIGNATURE-----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==
=AmWo
-----END PGP SIGNATURE-----
Hash: SHA512
>1,什么是证书证书就是密钥。用来保证中间无修改的加解密认证口令。密钥是成对的。签发人用私钥加密...
FF用的是内置证书库,Chrome会调用系统证书
而且这个工具也可以吊销FF内的证书
https://i.loli.net/2020/04/23/6bYvNkn3weLdTIH.png
>运营商都拿不到12306的证书解密。只是说国家有这能力,但是实际上除非你是超级危险分子,实时监控你,不然没意义。
不可能连接断了还能攻击找后账的。
??
-----BEGIN PGP SIGNATURE-----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==
=AmWo
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA512>1,什...
我是说,如果12306证书isp能截获的话早插广告了。
如果没手贱,系统就没内置过中国的证书。
就算你装了中国证书,运营商也不知道你都装了哪个啊。它用啥解密?失败怎办?链接不就断了。
mtim是中间人,没建立连接攻击啥?
你认为现在运营商有做mitm吗?
最主要不是只加密解密。解密内容插广告容易,全文搜索一遍还N个关键词那性能感人的。除非一对一对你服务。你够敏感级别吗?
实际上国内网站实名你发言服务器上多好找,国外网站找了也没用啊。
就算能吊销ff证书,我重装ff就行了为什么要用工具。或者去删除证书的文件会自动重生成的。主要是工具可信否。
github那个框架圣诞冰淇淋的例子。。。
要是作者喝茶交出项目。。。
这个证书我用手机也看不了啊。难道还得复制导入看看?
我的观点,自己没手贱过没借出过电脑不需要管证书。
chengr28(2B小盆友)关注了俺的 Twitter。目前这个项目被删除,Twitter 也注销了。类似的还有 FuckMFS 这款对付取证工具的 app。
往自己电脑里装证书,或者说导入吧,这个还是有可能的,比如说锐捷Sangfor的EasyConnect客户端,说不准它会在安装过程中做些什么