移除 CNNIC 憑證 on Linux
看到 chihchun 前輩的文章,裏面提到除了 CNNIC 自行發布的 CA Cert Root 外,其實 CNNIC 也已經取得 Entrust.net 所發布的次級憑證。建議所有台灣政府單位,一律移除 CNNIC 相關憑證。
1.1. 取消選取 mozilla/Entrust.net_Secure_Server_CA.crt。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeRSxaI9V15yov9PTlzwaaQ_NzV1OR5NXCivUTbL1pEc2AoEWB30kmTX3CqdVBJneBTjDsUJFAjW-2AwdUeIvR8Uw8dnWAhW-jvgjB5Kr_kcQJZu5WK2AIu1kbVgJnQbMolUnv97hRw5Q/s400/ca-certificates+configuration.png)
1.2.或者直接編輯設定檔,在 mozilla/Entrust.net_Secure_Server_CA.crt 前面加上「!」。
1.3. 更新憑證。
2.1. 開啟 編輯(Edit) → 偏好設定(Preferences) → Advanced → Encryption。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrIdPEsfCb8ylDO03MjUKp5HPy9wpdzBDg02vkiS7dPxEJpyViPZePPnf9kTL8rFljl-W1WIZz8MV4MfK3gNFC2pjrIl3t6dKGXE_IoNSerAgoc_bh17czhr-IX_D3lMEpoHRc7LFdpfw/s400/preferences.png)
2.2. 點選 View Certificates → Authorities。![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaKb5EF4IyItV9W0hc2f2CVLm9eR9nnCCIw1dDn33bLszolsRe8-e_ot8p_WW5PpY149KqQYiKqO0U5W11AXB5QnR8EZEneFJWCvNyztp2QmuBE1TUj860f5k2TwP5i4pt4o0KMEte8G8/s400/certificate-manager.png)
2.3. 刪除(Delete) Entrust.net 底下所有項目,項目會因人而異。![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0T8hywlSBergtO4M2viAdV0_74u7kefbgMqQTtOKNNTpNIXZFg-b9kO7jDG4DFRJdmEXyksJ0EIzAJUXtGiR8m3vfDQynUBaDdSWbHa-1d0qu181tlhaDvb5nEYSkWpK7MmkmiKaoBVs/s400/certificate-delete.png)
1. 移除 Debian/Ubuntu 中 CNNIC 憑證
1.1. 取消選取 mozilla/Entrust.net_Secure_Server_CA.crt。
jonny@linux:~$ sudo dpkg-reconfigure ca-certificates [Enter]
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeRSxaI9V15yov9PTlzwaaQ_NzV1OR5NXCivUTbL1pEc2AoEWB30kmTX3CqdVBJneBTjDsUJFAjW-2AwdUeIvR8Uw8dnWAhW-jvgjB5Kr_kcQJZu5WK2AIu1kbVgJnQbMolUnv97hRw5Q/s400/ca-certificates+configuration.png)
1.2.
jonny@linux:~$ sudo vi /etc/ca-certificates.conf [Enter]
...
mozilla/Entrust.net_Global_Secure_Personal_CA.crt
mozilla/Entrust.net_Global_Secure_Server_CA.crt
mozilla/Entrust.net_Premium_2048_Secure_Server_CA.crt
mozilla/Entrust.net_Secure_Personal_CA.crt
!mozilla/Entrust.net_Secure_Server_CA.crt
mozilla/Entrust_Root_Certification_Authority.crt
...
1.3. 更新憑證。
jonny@linux:~$ sudo update-ca-certificates [Enter]
2. 手動刪除 Firefox/Swiftfox 憑證
2.1. 開啟 編輯(Edit) → 偏好設定(Preferences) → Advanced → Encryption。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrIdPEsfCb8ylDO03MjUKp5HPy9wpdzBDg02vkiS7dPxEJpyViPZePPnf9kTL8rFljl-W1WIZz8MV4MfK3gNFC2pjrIl3t6dKGXE_IoNSerAgoc_bh17czhr-IX_D3lMEpoHRc7LFdpfw/s400/preferences.png)
2.2. 點選 View Certificates → Authorities。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaKb5EF4IyItV9W0hc2f2CVLm9eR9nnCCIw1dDn33bLszolsRe8-e_ot8p_WW5PpY149KqQYiKqO0U5W11AXB5QnR8EZEneFJWCvNyztp2QmuBE1TUj860f5k2TwP5i4pt4o0KMEte8G8/s400/certificate-manager.png)
2.3. 刪除(Delete) Entrust.net 底下所有項目,
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0T8hywlSBergtO4M2viAdV0_74u7kefbgMqQTtOKNNTpNIXZFg-b9kO7jDG4DFRJdmEXyksJ0EIzAJUXtGiR8m3vfDQynUBaDdSWbHa-1d0qu181tlhaDvb5nEYSkWpK7MmkmiKaoBVs/s400/certificate-delete.png)
資料來源:
★在 Linux 上移除 CNNIC 憑證 from Rex's blah blah blah
留言
張貼留言
喜歡這篇文章嗎?歡迎在底下留言讓凍仁知道。😉