偶然发现奇游加速器会在系统里植入根证书

不知道游戏加速有哪些优化点，上面说的 vpn 或代理都只是一个通道，数据直接转发就行（不考虑细节），你要自己明文，被看光了当然是自己的问题，但是把你扒光就不一样了，他说一定不会看，那么可不扒（ vpn/代理）的情况为什么要扒了

所以不要用这种软的，在你系统内部胡搞，直接买个盒子呗。

不添加根证书也是完全可以实现加速的，就比如根据进程代理和 fake dns 实现透明加速。

添加根证书估计是为了解包之后做数据缓存。不然全部用户更新个游戏资源都重复拿数据，他们的国际线路负载会很高。

从双方都可以接受的角度来看，最多就是允许在游戏加速开启的时候启用根证书，软件关闭的时候要删掉。游戏加速器厂商并不具备 CA 的各种安全审计，颁发了什么证书也查询不到 log ，被有心之人利用就麻烦了。

@coolcoffee 是这样，他们不光断开不删除，之前版本安装的也不在更新的时候清理。

借口罢了，就两种网络协议，TCP 和 UDP 都不需要解密 tls 就能做加速，而且国内网游加速器并不便宜，一个月好几十还这么扣扣嗖嗖的真不觉得是。

@DefoliationM 是的😅

楼上的都不考虑成本的吗?
现在一个游戏随随便便几十 GB.全部用户挤着一起走专线下一遍,还是缓存一遍然后 MITM 游戏下载域名转发到自己的 CDN 缓存便宜?
既解决速度问题,也解决高成本问题
还有谷歌验证码(google.com)重定向到国内直连的(recaptcha.net)
youtube.com 反代框架 js 解决一些访问问题(例如 steam 创意工坊大图,一些游戏内嵌网页框架加载)
都是特殊环境下的特殊解决方案罢了

我给大家解释其中一种用法，仅限 Game Center(squidV2.crt)这个证书：
打开这个证书，你就会发现它指定了一堆游戏商店的 CDN 域名。（有同学应该已经能猜出他们拿这个证书干嘛用了

具体怎么实现的呢？奇游加速器的 qeetm.exe 这个组件会在你的电脑上起一个反向代理


测试一下，把 curl 改成 EAUpdater.exe ，试着给 EA 的服务器发个请求，神奇的是这里请求的 IP 地址不是什么远程服务器，而是 127.0.0.1


把 qeetm(127.0.0.1)的流量转给中间人抓包看看，答案就出来了。


结论：
奇游给游戏大厂 CDN 自建了个国内镜像（缓存服务器）用来给用户加速游戏下载，自签证书而非直接代理 TLS/TCP 是为了省 CDN 回源国外内容时产生的带宽/流量费用。

雷神加速器差不多也是这样干的。

公司是做这类加速器的，一般用于游戏下载加速，劫持到对应的文件缓存服务器。
不是用于游戏本身的通讯加速，毕竟除了一些较新的游戏可能用了 tls/ssl 加密，普通游戏都是 tcp/udp 明文传输（排除部分游戏自行加密的），跟本没有劫持的必要。

@epiphyllum
官方人员？

你感觉加速器什么原理?

看了下我电脑的根证书，确实也发现了雷神加速器的证书
[img][/img]

@epiphyllum #28
懂了，加速下载用的。

既然是这样能不能让用户选择不加速网络下载，仅加速游戏

如果这些厂商上点心，完全可以在证书里指定要 MitM 的域名，这个叫 Name Constraints 。即使这个 CA 的私钥被攻击者掌握了，它也只能签发这几个域名的证书，签发其他的证书都无效。这样既能够保障用户安全，又能起到加速的作用。

@e3c78a97e0f8 什么点心，甜不甜（

改进的办法有很多，但是嘛，我不觉得他们会做。因为他们根本没有这种安全意识。

按因果来讲，如果他们有安全意识也不会被我被动的偶然发现植入根证书了。

@gesse #30 哈哈不是，要不然我也不用上手分析了

@timeance #33 原理上肯定是可以的，但那些加速器厂商多半不会花工夫去做

国内的游戏加速器可以说全都是“傻瓜化”的，开了会员点一下就能开启加速，某些加速器稍微动动鼠标就能在不知不觉中获赠“CA 证书、虚拟网卡、系统代理、禁用 IPv6 、开机即自启的 WFP 驱动”等一系列全家桶。

说到底还是加速器厂商太懒太菜导致的。卸载/关闭软件时明明可以删 CA ，装的证书也可以少些几个用途。非静态资源也用不着解密 TLS 流量……

许多游戏玩家并不是这些专业的从业人员、在读学生或者极客/爱好者，这种情况下大多消费者只能简单地通过加速快不快、延迟低不低、价格贵不贵来选购产品。

要是加几个设置，多几个需要同意的复选框的花，估计又会：
“别人家的加速器一点就能玩，你们的怎么还要同意那么多设置？”
“我看到它说不安全就没勾选这个，结果下载速度就变成 0kb/s 了？”

这导致给厂商施压逼迫他们作出改进的人太少，简单地添加同意选项/设置又费力不讨好。加之同样身为打工人的加速器开发者也多半懒得去执行上司没安排的任务，充满安全风险的代码和配置就这样被塞进了用户的电脑。

只能把期望放在网络安全教育的普及上了。无论如何总要有人逼着他们，这样他们才肯改。

@epiphyllum #37
是啊，产品肯定不会搞这些“吃力不好好”的事情

其实给我一个选项，能够选择不加证书也好，哪怕入口深也没关系

楼上已经给出答案了，加速器本身需要通过一些非常规手段时间加速。