为什么 SSL 证书会被 Windows 自动添加

为什么不信任国内 CA 呢…
这些 CA 也是靠 VeriSign 之类的 CA 签信任链的吧…
那是不是相当于 VeriSign 签的你也不相信了呢…
又不是铁道那种自签名的 CA …

@oott123 (他们)主要是不信任Gov，(他们认为)天朝Gov有能力强迫任何国内CA签发用于中间人攻击的证书

@jerryjhou 那样这家 CA 不就完蛋了么…
签也完蛋，不签也完蛋╮(╯▽╰)╭

把WoSign放进不信任证书列表，不然会根据StartCom(就是StartSSL)的根证书信任自动信任

@oott123 他们的证书签发对象居然包括 “内容审查机构”

因为这是一个 suboridinate CA, 上面有被信任的 root CA 的签名，所以被信任了。
Suboridinate CA 的安全性是近两年来才引起关注的，在 2011 年发生了 Entrust, Inc. 的一个 subridinate CA 签发了弱密钥证书的事件。
https://blog.mozilla.org/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/

现在 Mozilla 的政策是要求 suboridinate CA 的 policy 必须符合 super CA 的 policy. Super CA 要每月对自己的 suboridinate CA 做审计，并且不允许 suboridinate CA 再给第三方 suboridinate CA 签名。

@jerryjhou
@billlee
正解 问题是在certmgr中根本看不到wosign 只有我昨天在/t/119312 贴出来的 Class 1 Primary CA

@caizixian certmgr 好像不会保存 intermidate CA, 可以用 Firefox 打开用了这信任链的网站，然后就可以在 Firefox 的证书管理器里面把 intermidate CA 导出来。

@billlee 我昨天打开网站后certmgr才出现的 说明会保存新的intermidate CA /t/119312 中的cer就是从certmgr导出来的

太洁癖了。

国内的CA不信任的话， 以后是不是每个网站的认证都要打开看看。

Verisign 中国的证书也不要新人就好了
嗯，就是那个 Verisign Class 3 CA

wosign被windows内置了，在xp最后一次补丁的时候。

@woyao 你确定？内置证书是要通过 WebTrust 审计的啊

我想知道LZ有什么需求要对SSL证书那么关注。

@billlee https://www.wosign.com/news/wosign_root.htm