网上流传的所谓「支付宝偷偷添加根证书，将造成安全隐患」的说法是否正确？
原po的话：支付宝你这个不要脸的东西，居然偷偷添加根证书，自己的根就算了，还有个叫OSCCA的，还打开了所有的用途，你妈妈没教过你什么叫信息安全，什么叫证书体系吗？还TMD叫什么安全控件，我看就是木马。请同学们在Windows下按Windows+ R, 输入certmgr.msc，在“受信任的根证书颁发机构”-“证书中”找到“ROOTCA”，截止日期，单击右键，属性，选择“禁用此证书的所有目的”。Big brother is watching you.
按投票排序
的回答浅显易懂，说的不无道理。 我想再补充一下。顺便评论一下很多人提到的CNNIC乱入Windows和Firefox根证书机构的问题。这个问题的关键在于支付宝私自添加根证书，是否有危害，危害大不大，对吧。评论中和其他回答（如
）以及里面的评论对于阿里巴巴作为一个根证书机构是否具备权威性，以及安全性是否能得到保障做了很多的讨论。我认为讨论的角度有点偏。 CNNIC、12306、阿里巴巴和很多其他银行的根证书之所以不应被信任，不仅是因为它们的公正性和可信度没有得到业界和公众认可，更重要的是，它们的根证书声明了远远超出需要的权限。什么叫远远超出需要呢？阿里巴巴和各银行的根证书如果像很多同学所说，是为了为自己的网站签名，只需要有“服务器身份验证”的权限就可以了。如果需要为各种外置UKey签名，只需要“客户端身份验证权限”，而自己的软件需要认证，只需要“代码签名”权限。那让我们看看CNNIC声称自己用用哪些认证权限。再来看看12306的证书再来看看12306的证书什么叫&所有&，可能大家没有概念，各位可以点开证书属性看一下什么叫&所有&，可能大家没有概念，各位可以点开证书属性看一下选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。那么有威胁的权限有哪些呢？看这里有很多各位不需要专业知识，都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序，“合法的”向你的内核插入任意代码。而这一切，由于Windows支持后台推送更新，都可以在你完全不知情的情况下发生。相比于这个安全威胁，中间人攻击什么的完全是战五渣有很多各位不需要专业知识，都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序，“合法的”向你的内核插入任意代码。而这一切，由于Windows支持后台推送更新，都可以在你完全不知情的情况下发生。相比于这个安全威胁，中间人攻击什么的完全是战五渣==============================================对于CNNIC被微软和Firefox接纳为根证书机构的事情，这些年讨论的越来越少了。当年CNNIC进入Mozilla的根证书机构时，Mozilla社区就进行了激烈的争论。英语好的同学可以自行翻看当年的帖子。有意思的是，虽然来自中国的很多小伙伴反复列举了CNNIC过去的种种恶行（估计如果是国外的公司这么干，估计不会有人还会信任它了），Firefox的副总Johnathan Nightingale却一直在为CNNIC辩护。我不想评论Nightingale的做法。但他就事论事、讲求逻辑和证据的态度值得大家学习。
最后更新于， 15:50本文是12306和招行的软文，脑残黑请出门右拐。正确。未经用户许可偷偷添加根证书信任是非常严重的行为！关键点在未经用户许可，这种行为好比，你请支付宝到你家来做客，结果他把你家的钥匙给偷偷配了一把。作为支付宝，请求用户信任其颁发的证书，是合理的！但是偷偷的跟用户的保安说，这用户是我的哥们儿，以后我介绍的人你就不要盘问了，这种行为怎么说都不为过。由此可见，中国的互联网主要都是一群毫无节操的公司。不要使用任何请求系统权限的所谓安全控件，才能真正的保证您的安全。未经用户许可，利用安全控件窃取系统权限，安装根证书的行为，毋庸解释，流氓无疑。所谓安全目的，均是障目之术，毫无节操。（我在我电脑上就没有发现招行的根证书颁发机构）。在这一点上，就连12306都比较有节操的让用户自行下载和安装，并且有其“正当目的”（HTTPS+CDN）。下面有人评论说怎么能证明这个证书就是支付宝弄的。很简单，先删除这个证书，然后到下面的地址下载支付宝的安全控件：然后安装，就会发现的证书赫然出现在受信任的根证书颁发机构。证书截图：事实上这个证书是毫无必要的，因为即使删除这个证书，支付宝依然能够登录，除了开后门，几乎没有别的解释！证书这货到底是什么东西：在早期的互联网时代，我们的网站、软件，都是依赖于我们自己的信任而使用的。例如我有一套游戏的安装程序，你从我这边拷贝过去，然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了，完全是依赖于我告诉你的。网站也是同理，我知道这个地址是招商银行，是因为招行营业厅的MM告诉我的，我信任营业厅的这个MM。这种信任是非常薄弱和糟糕的，病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序，可能已经被病毒侵袭，它当然还是可以安装游戏，但同时也会安装病毒！营业厅的MM有可能是招行的员工，也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站，但是经常会给我推销一些完全用不到的保险啥的。在继续讨论之前，我要引入一个新的概念，信任链。拿刚才的例子来说，你从我这边拷贝了一份游戏的安装程序。信任链是这样的：你信任我，我是你的朋友，我没必要害你我信任卖光盘的，他是个卖光盘的，没必要给我装病毒卖光盘的信任刻光盘的刻光盘的信任下载的网站下载的网站信任上传的用户上传的用户信任分发该份拷贝的盗版组织…………很显然，这么长的一个信任链，中间出现问题的可能性是非常大的。可以说，信任链越长，就越不安全。同时，因为这一份程序在这么多人之间拷贝分发，任何一个环节感染病毒，都会导致下游所有的环节感染病毒。证书是如何解决这两个问题的？证书有两个功能：1、身份标识，证明这个网站/软件/其他的发布者是谁（如微软、UBI、Google、招行）。2、数字签名，确保这个网站/软件/等等的内容没有被任何人篡改。第一个功能解决了信任链的问题，通过证书，我们的信任链可以变得非常的简单：用户 信任 发行者。例如一个英雄无敌V的游戏安装程序，如果它是使用正确的UBI的证书签名的，那么我就可以完全的信任这个程序，可以给我安装一个英雄无敌V的拷贝。第二个功能则杜绝了在分发过程中被篡改，植入病毒和木马的可能。同样是这个英雄无敌V的游戏安装程序，只要他是被正确的UBI的证书签名了，那么不论我是从盗版光盘上拷贝还是从某个不知名的下载网站下载的，我都可以放心的知道，这个和UBI发售的光盘上的东西是一模一样的。那么，我是怎么知道这个证书是UBI的呢？换言之，我是怎么知道哪个证书是正确的UBI的证书，而不是隔壁王二狗子自己冒充的呢？这就依赖于证书颁发体系了。几乎网络上所有的证书（除去用于个人用途的自签名证书以及根证书颁发机构的证书），都是由某个证书颁发机构颁发的。证书颁发机构负责核实证书申请者的真实身份（例如我们公司网站申请SSL证书就需要提交公司营业执照的影印件，还有证明自己拥有网站域名的材料），以及吊销被泄漏和滥用的的证书。也就是说证书颁发机构，就是证书所有者身份的确认人。一旦你信任了某个证书颁发机构，就等于信任了这个证书颁发机构所颁发的所有证书的身份确认信息！操作系统只会把确认好的身份信息展示给你！神马是根证书颁发机构？证书颁发机构和域名一样，是一个树状的结构，全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书，因为一旦根证书颁发机构的证书被泄漏，所有直接间接的证书，都会受到严重的影响。所以，根证书颁发机构一般授权二级证书颁发机构颁发证书，一旦信任一个根证书颁发机构，等同于信任其下所有颁发的所有证书，以及其授权的二级证书颁发机构颁发的所有证书。更为严重的事情是，根证书颁发机构，是整个证书颁发体系中，唯一不受任何身份验证的。其身份的正确性，由其自行保证！也就是说，根证书颁发机构可以宣称自己是任何一个公司，没有任何人和组织可以对其进行审查！换句话说，支付宝要更没节操点，给你弄个自己签发的VeriSign的根证书装你电脑里也没商量。事实上，根证书颁发机构是整个证书体系中，最薄弱的环节。这就是为什么上次微软在操作系统中内置CNNIC这个流氓的根证书引起了网络上广泛的质疑。根证书几乎只能由操作系统内置，通过操作系统安装程序二进制代码的安全来确保正确。下面是一个正确的证书的栗子：这个就是支付宝网站的SSL证书。这个就是支付宝网站的SSL证书。可以看到，这里是证书路径的界面，其中指出了这个证书的颁发者：颁发者是VeriSign Class 3 Secure Server CA - G3颁发者的证书是受根证书颁发机构VeriSign Class 3 Public Certification Authority - G5 信任的VeriSign Class 3 Public Certification Authority - G5就是全球为数不多的几个根证书颁发机构之一。所以自行添加根证书这种行为，完全可以视同是木马！是后门！甚至是更严重的行为！尤其是在现代互联网和操作系统中，这种行为是从根本上动摇系统安全的行为！支付宝是怎么做到的？事实上要注入受信任的根证书颁发机构，是需要系统管理员的权限的，所以当安装安全控件的时候，系统会提示这货在请求系统管理员权限（Windows Vista及以后的版本正确配置UAC的环境下）：当你看到这个界面的时候，请注意，你在打开潘多拉的盒子。一旦你点击是，那么这个应用将获得系统管理员的所有权限，对你的系统偷摸摸的更改而无需你的确认。请谨慎使用任何请求系统管理员权限的应用。事实上如果每次遇到这个对话框你都点击否的话，你的电脑被安装病毒木马的可能性几乎是零。我该怎么做？对于这种没有节操的行为，最好的办法就是把他们永远的封印起来，让他们永不超生。打开Windows运行，然后输入mmc回车，此时会看到一个智能控制台的界面：选择文件菜单中的添加/删除管理单元功能。在弹出的窗口中找到证书，并添加。在弹出来的界面上选择本地计算机账户：完成后，在受信任的根证书颁发机构中，找到这个臭流氓：把它拖拽到不信任的证书下面的证书文件夹去。。。。。然后他就不能再耍流氓了，，，，然后他就不能再耍流氓了，，，，不过要谨记，你可以把他扔到不信任的区域，流氓也能自己再弄出来，或者用安全恐吓，功能缺失来威胁用户。对待这种情况，要坚决的say no！事实上我把这个证书给干掉了，支付宝屁事儿没有。最后纠正一下其他答案的几个误区：1、注入一个根证书不过是能发起中间人攻击，危害不大。HTTP SSL加密只是证书的其中一个用途！证书在现代互联网和操作系统中的应用会越来越广泛，在可预见的将来，所有的程序、邮件、文档，全部都会使用证书加密，确保其在传输、分发过程中，不被篡改。确认发行者的身份。事实上三大智能手机平台的应用，就是用证书来确保分发不被篡改的。2、注入根证书颁发机构是为了自己的加密用途，是合理的。事实上，支付宝的网站，有合法的被信任的证书（上面有截图），所以没有必要自行颁发证书。并且，如果是自行加密用途，可以在服务器记录公钥私钥即可。并没有必要颁发证书来完成安全用途。还有所举的那些银行网站，都是一堆没有节操的公司。招行就没有安装任何证书，我使用招行专业版好好的。证书具体有些什么用途？HTTP SSL加密（即HTTPS协议）是证书目前最为广泛的一个用途。通过服务器SSL证书的身份验证，我们可以确认我们访问的服务器是正确的网站。涉及到资金和帐号的网站，一般都使用HTTPS协议，例如支付宝、网上银行、Google登录等。同时，HTTP SSL加密可以确保浏览器与服务器之间的通信，不被任何第三方窃取和监听。这保障用户数据的安全，所以Gmail目前已经全面使用HTTPS协议。中间人攻击，仅仅是根证书污染可能造成的威胁之一，也是上次CNNIC证书加入到根证书中人们所最担心的事情。简单来说，中间人攻击的主要目的是窃取HTTPS传输过程中的内容。具体的做法是通过网络劫持（网络运营商非常容易做到，如电信联通），在用户与目标网站之间加设代理服务器。由于HTTP协议传输过程中是不加密的，所以可以窃取所有传输的资料并进行篡改。事实上电信一直在干这事儿，莫名其妙的电信广告弹窗就是这样冒出来的。但由于HTTPS协议使用了证书对传输过程进行了加密，并且对服务器进行身份验证，所以简单的网络劫持加设代理便宣告无效。但如果此时，由某个用户信任的根证书颁发机构，给这个加设的代理服务器进行身份认证，并提供传输加密。那么用户通过HTTPS协议访问网站时不会有任何的异样，而以为是安全的。所以CNNIC根证书为什么会受到广泛的质疑，就是因为这个机构和中国电信是一个窝的。故而大家非常担心他会串通电信进行中间人攻击。钓鱼网站伪造，尽管中间人攻击可以直接窃取用户传输的内容，如帐号密码，但是中间人攻击仍然需要对网络进行攻击来加塞代理服务器。而伪造一个钓鱼网站，例如什么则简单的多。证书颁发机构可以可以确认这个网站的身份，即使你对这个钓鱼网站存疑，但是如果浏览器告诉你这个网站是安全的，你会怎么做呢？伪造程序签名，证书不仅仅可以确认网站的身份，以及进行传输的加密，也可以确认应用程序发布者的身份，并让你信任它。这是一个经过签名的应用程序请求系统权限的时候的提示：可以看到，与上面支付宝的控件请求系统权限不同，这个提示的底色已经变成了蓝色，表示这是操作系统信任的一个程序，点击查看证书信息，我们可以看到这个应用程序的证书：这个证书可以确保这个应用程序是由Disc Soft Ltd公司发布的，并且没有被任何第三方篡改过。这意味着，这个程序包含病毒的可能性取决于Disc Soft Ltd这个公司的节操。当然一般国外软件公司的节操我还是信得过的。所以我可以放心的点击是。而这个Disc Soft Ltd公司的身份验证，则是由上面的根证书颁发机构来确认的。其他许多场景在最后，我想再次强调一下，证书，是现代软件和互联网行业，最为简单便捷的确保安全的方案。其广泛运用于：软件、网站、邮件、文档等等等等的加密和验证领域。尽管证书的应用目前并不广泛，但是证书却是未来互联网的信任的基石。而这个基石的基础，就是用户对根证书颁发机构的绝对信任！请注意我这里使用的是绝对信任，因为，根证书颁发机构的证书，不能被任何组织或机构所验证，因为几乎一切互联网上的验证机制，都是通过证书体系来完成的。我举一个栗子，我如何验证我电脑上的这个VeriSign的根证书是正确的？我们可以想出很多种办法：1、直接问我，或者问某个安全领域的砖家。你怎么知道我或者砖家不会骗你？万一我收了别人的钱呢？或者我也被人骗了呢？2、去VeriSign网站查询。你怎么知道这个网站是VeriSign的？有HTTP，有绿色的小锁？问题是这些都是基于你所信任的根证书的。如果你的根证书是假的，他肯定会弄个假的网站给你认证了，反而把那个真的网站给认证成不安全的。3、去第三方网站下载证书的校验码。哪个网站是可信的？没有证书的情况下，所有的网站都可能被劫持，被篡改。所以对于根证书的绝对信任，构建了整个证书体系，也是整个互联网的安全体系。而支付宝不告知用户自动安装根证书的行为，是从根本上破坏互联网安全的行为！那么，如果支付宝不干坏事，我信任支付宝，是否这个根证书就毫无风险？不是的，整个互联网和软件的安全，构筑在对根证书的绝对信任上。任何一个根证书的植入，都给用户带来了一分威胁。即使支付宝不干坏事，但如果支付宝的这个证书的私钥哪天被泄露了，后果会怎样？！你信任支付宝，但你信任支付宝对别人的认证么？说到这里淘宝天猫卖家要笑而不语了。。。。最后解答一下，为什么说支付宝这种行为，比起12306来说更为恶劣，因为12306也要求安装根证书才能用啊。两点：1、这个根证书对于支付宝的使用不是必需的，而对于12306而言，在某种程度上是必须的（否则浏览器会自动阻止12306网站的HTTPS访问）。当然，事实上12306也有麻烦自己的方案，但是国企你懂的。2、12306是让你自行决定安装与否，这样，在使用后，你可以自行卸载或作相应处理，支付宝是强行安装，完全没有告知。这好比，12306是给你家做装修的装修队，他说我们在这里搞装修要一个多月，你把门钥匙给我，跟门口的保安说一声让我们进来，我们好出去买材料，出出进进的方便。支付宝呢？支付宝是你请他来你家后，转身就把你家的门钥匙配了一份，还偷偷跟你保安说，那个用户是我哥们儿，他让我随便进，还有我的朋友，也可以随便进。尽管12306这种麻烦自己不如麻烦用户的的行为不值得提倡，但是支付宝这种不麻烦用户，把用户家当自己家的行为，则是更为无耻，没有下限的行为。
首先，根证书体系是一个广泛认可并且通行的做法，支付宝需要遵守这个游戏规则，只有守规则你的信用才能被世界认可。就好比有了国家法律，你说我不遵守，我守我支付宝自己的法律一样，也许你的法律更加严格，但是出了门，别人不认可。再者，支付宝是否有权和有能力颁发根证书，如果有，做认证去，成为一家国际通行的证书颁发机构，如果没有，那还有什么好说的，有多远滚多远。最后，未经许可或提示，私自注入根证书，视同后门操作。鄙视之
没人邀请我，我自己来回答一个这个问题， Certificate Authority 是重要的安全根证书。一旦发生漏洞或者被入侵，私匙泄露等等将会造成不可预料的损失。在每一个操作系统 linux/unix/win/android/ios 都会内置根证书，往往会有几十个认证机构的根证书被植入了你的电脑里。这些证书非常的重要， 根证书是构建了整个互联网安全的信任体系。 它们的逻辑关系是这样的。 操作系统信任它们——& 它们信任其他它们签发的证书——》我们信任操作系统。 这就构成了一个很严密的PKI信任体系。于是这些根厂商可以用它们的根证书，颁发第二级可信任证书。（中级）一般而言再由第二级的证书去签发给其他需要认证的厂商/用户。 由于电子签名的不可更改性，不可抵赖性，所以现在很多软件发行商都会找植根的厂商去给自己的生成的N级证书签名。最后用自己生成N级证书去给自己的软件/网站签名。经过这些厂商签名的软件/网站 就可以附加自己的公司名字。确保最终用户收到的是未经更改的文件。 （有一些操作系统，对于有可信赖签名的软件的权限往往会放大）比如 Windows 内核的驱动，必须有 verisign 的交叉签名。 又或者 几年前的塞班之流的。软件都是需要可信赖签名的。除了对软件签名以及防止钓鱼证明你访问的就是某某网站之外，证书用在网站上还还有一个用途，就是对网页传输的加密。使用SSL 技术，可以确保用户提交/下载的信息，在客户端前未经篡改。即……
中间传输的内容的是加密的，即使在网关监控数据，你也无法解出真正传输的明文是什么东西。上图的意思是geoTrust 信任该网站，且你访问的内容是加密传输的。那么， 如果有一家掌握根证书的公司，恶意给别人的网站颁发证书，会怎样呢？这里说一个好玩的故事，有一个安全公司叫 DigiNotar ，在windows操作系统里有它的根证书。它的服务器被入侵，证书的 key 被盗。于是有黑客就用它的key去签发证书（理论上可以胡乱认证，把
认证为 google inc 。 把 认证的 gmail 邮箱 ） 普通用户看到网站是通过https 链接的，并且有根证书的认证，就会潜意识的以为这个网站的安全的。 于是证书key 被盗后。微软紧急发布了一个补丁。微软在
补丁中宣布了DigiNotar的根证书无效。原文如下：Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书，DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户（包括 Internet Explorer 用户）执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞，但是此问题会影响 Microsoft Windows 的所有受支持版本。回到题目的担忧吧，我觉得题主的担忧不是多余的，专业的根证书厂商自身有很多规范的比如
verisign 或者 getrust
globalsign 等在给每一个证书签发之前都会仔细审核，认定申请人的资料，是否对应。并且给出一定的担保赔付。因为它们专业，所以由它们签发的证书，往往会出错的概率很小，几乎没有。另外，我查看了一下支付宝的根证书，事实上，很多公司都会往用户的操作系统里写入的一个根证书，我想比如 招商银行 工商银行，甚至农业银行都会写入一个证书吧。 这个证书是用于U盾的认证服务。以及在线支付安全。我相信这些公司这样做的目的，也是为了用于的资金更加安全，所以由自己掌握根证书，一旦发生安全问题，不会那么被动的。基于上考虑， 无论是支付宝还是12306或者各大银行植入根证书的行为是可以接受的。因为权衡利弊得失，我认为植入根证书的好处，大于它的风险。当然，我强烈建议楼主，每次打开使用SSL 加密的网站之前，点一下浏览器的小锁。看看它的证书是谁签发的（比如 gmail 的根证书是 geotrust 中级证书是 Google Internet Authority ，如果它的证书是一个你不知名的证书机构颁发的(比如， 有一天你看到 12306的那个SRCA
签名，这种情况下，你觉得可能吗，不可疑吗？)，如果你真看得到那么一天请不要输入任何的账户密码信息。并且更换网络连接查看你是否被劫持。只要小心，警觉，懂得一定的安全知识很大程度上是可以防范TLS 中间人攻击的。
谢邀请。该文似乎是没有喷对点，如果真的要喷根证书，最应当喷的当然是12306的那个根证书了。OSCCA是国家商用密码办公室，是我国专门负责商用密码的许可和管理的机关单位，也算是一个专业从事信息安全相关工作的机构，相对来说，不过是在根证书的保护和使用上，他们都比12306的根证书可靠得多。我并不了解这个OSCCA的根证书是何时进入到我的电脑的，不过我打开看了一下我的证书管理器，别的程序往里面添加根证书还真不少，除了OSCCA的这个，还有阿里巴巴、支付宝各有一个，工商银行有四个，KZTechs（就是SREng那个软件）有一个，财付通有一个，从这一点上看，自行建立CA并且发布根证书感觉像是一个比较流行的做法。不过换一个角度来看，这种做法确实会存在一定的问题。我们之所以相信一个机构的根证书，是因为我们相信这个机构不会使用这个证书来作恶，也不会将这个证书所能派生的权力颁发给坏人，并且拥有足够的能力保护这个根证书的安全，不会被别人破解或者窃取。一旦这个根CA的能力达不到要求，滥用权力或者没有保护好根证书，那么整个信任体系都会土崩瓦解。利用根证书作恶最典型的就是TLS中间人攻击，详见《》所以，我觉得企业或者机构应当为这个互联网世界的安全负起一份责任，除非确保自己有足够的能力保证这个根CA的权力不会被滥用或者窃取，否则不应当为了省事或者其他原因发布根证书。而至于这个证书，我觉得倒不至于那么敏感的感觉全世界都在监视你，毕竟要监视你的方法多了去了，找一个非根CA的证书自己签发一个也是可以达到的，比如北京数字证书认证中心就是一个从事数字认证方面的国企，真要窃听你找他们帮签一个不就好了，大张旗鼓植入一个根证书做什么？
一句话，随便加根证书的都是臭流氓。SSL的安全是建立在根证书靠谱的前提下，任何根证书的不靠谱都能破坏整个SSL的安全。所有以自己堂堂正正不怕监控为由拒绝承认这个安全隐患的请自行裸奔，实名上网，主动把所有网络活动数据备份交给平平安安，否则都是自欺欺人。
上面洋洋洒洒说了那么多，都没有触及到本质问题。所谓个人信息安全，你以为国家犯得着用这么麻烦的手段么？Too simple, CIA / NSA 直接找 Yahoo / Google 索要用户信息的段子没听过？为什么国内公司都要安装自己的根证书？事实是，要为用户签发证书，你就必须具备 CA 资格，走正常的证书链申请流程，你很难获得这一资格。所以各厂商就搞自签名根证书咯，使用自签名证书也是基于信任的，简单地说，如果你无法信任支付宝的安装程序，请不要使用。删除某个厂商的根证书将导致无法安装或更新数字证书。12306 则是另外一个问题。12306 无需给用户签发证书，所以根本不需要搞自签名的根证书。 曾经发起过一个给12306捐证书的活动 ()，只要买个便宜的证书就够了，购买者只需证明网站为自己所有即可。update: 获得 CA 资质有多难？经
同学提醒，Google 已经获得了 CA 资质（请访问
了解细节）。商业公司能牛逼成这样，全世界也没几家。以前 Google 证书都是一个叫 Thawte 的 CA 颁发的。国内具备 CA 资质的公司好像有一两家，都是有国家背景的（当然 CNNIC 也获得了）。想象一下，在一个具有普世价值的环境里，你说你想给别人发证书，你得具有多强的权威性？这对普通商业公司很难做到。update again: To 呵呵，我在一楼（目前）回答里面评论了一句：「ROOTCA是国家的」，同学你说话要负责任哦，信口开河图一时爽快有意思么？就收到了默默删除 ＋ 屏蔽本人 的待遇：同学，你的气度呢？同学，你的气度呢？
我不同意某些回答的看法。给用户“颁发”证书是不会造成用户的损失，只会造成颁发者的麻烦。问题是，原po所指出的不是“颁发”证书，而是添加“受信任的根证书颁发机构”，这是完全不一样的。首先，禁用此证书确实会导致一些网站访问时提示不被信任的证书颁发机构，需要手工确认才能继续访问（有的浏览器会直接禁止访问）。其次，这个证书不管是由支付宝签发还是由国家密码管理局签发，都不影响用户支付宝的安全性，除非颁发者的私钥被盗了——当然我们知道这极不可能。第三，使用这个证书有没有风险？答案是有！为什么呢？首先解释一下什么叫中间人攻击。就是说，你发给目标网站的数据被中间人拿到，中间人发给目标网站，再把目标网站的回应发给你，神不知鬼不觉地偷到你的数据。这怎么办？通常使用https这样的加密连接，因为中间人没有解密此连接所需的私钥，所以它虽然传送了数据，但无法知道数据里面是什么。那么，根证书和这个有什么关系？答案是：根证书持有者，或根证书持有者直接授权的人，可以对https进行中间人攻击。这怎么做到呢：比如说，你访问google，google使用的是GeoTrust颁发的证书，浏览器验证一下，发现没有问题，便允许你连接它。现在，一个中间人，把Google发来的证书掉个包，变成XXX颁发的证书（当然这个中间人得直接获得XXX的同意才有这个假证书），而你的浏览器认为XXX也是可信任的，便信以为真，你和中间人的整个连接将使用XXX的证书进行加密。中间人便偷到了你的数据，再伪装成你去和Google的服务器进行通讯。这样，你的gmail里面有什么，中间人就一清二楚了。结论：添加一个新的根证书带来的风险是：证书颁发者，或其直接授权者对你和你所访问的其它网站之间的加密连接可以进行中间人攻击。当然，证书颁发者没事攻击自己干什么？你的支付宝是没有风险的，但是你的其它服务，就会面临掌握根证书的人的攻击风险。对策：既然没了这东西，你的支付宝可能要不能用。那么我的建议是：你如果认为自己有受监控的可能，就用一个虚拟机装支付宝，主要系统删掉这个证书机构；如果你认为自己不会受监控，行为堂堂正正，就什么也不用管。我个人是不怕监控的，所以我就不删了。
16 22衡量下自己要传输的价值和需要保密的手段。
==============OSCCA是国密局吧。各地地方CA就是国密局签出来的吧。这个体系是可信的。
12306支付环节的
是VeriSign颁发呵呵。
排名第一的回答怎么说呢，原理讲的确实很透彻，但是你忽略了信息安全社会工程学的部分。首先，你觉得alibaba在耍流氓给你私自装根证书，其实只是没有预装在操作系统里罢了，windows预装了很多根证书，但是没有一家是中国的。这点可以理解吧，如果你需要进行整个安全体系的部署，却需要受制于一家国外的公司，其中的安全风险有多少呢。其次，你为什么不信任alibaba颁发的证书，却对verisign的证书情有独钟呢？本质上这两者无差别，只不过verisign在业界做的确实规范、安全。alibaba由于这并不是它的主要业务，所以并没有以此为赢利点，并没有大家宣传。第三，证书体系的理论研究已经非常透彻了，利弊都可以在文献中可查阅。所以由他家来做根证书从安全风险上并不比具有根证书资质的公司差到哪里。
就两件事：1、安全体系失控 2、这是偷偷摸摸干的 具体见排名第一的答案~
12.21修改，，手机编辑的有点逻辑混乱%&_&%首先肯定有危害的说法。然后感谢的回答，确实涨知识了，O(∩_∩)O。这个问题的关键在于支付宝私自添加根证书，是否有危害，危害大不大，对吧。如果支付宝网站的服务器不被黑的话，应该不会通过此途径黑我们的电脑，而且别人想黑你的话，肯定比黑那些企业的简单多了 ，道哥对这个问题应该有自己独特的看法，希望大神分享一下 ，再者支付宝这个财神，肯定会赔偿你的损失嘛……
所以，感觉这个东西是可有可无的东西。另外就是隐私问题。所以，题中有个关键词“私自”。所以大家突然听到就感觉很不爽了。当然这也是大家隐私意识的提升，这点值得肯定。但每天，你的周围那么多摄像头，那么多眼睛，甚至头顶上的卫星可以清晰的看到你，难道你就不出门了么？网络世界在现行的法制下，更是很难有边界的。所以，网络上那些事，笑笑就过去吧。想想明星们的生活，你就偷着乐吧。隐私尽量不要放在网上就好了。我想表达的是没必要那么杞人忧天（不要听到核辐射，就想跑去买食盐。不要三人论虎就成虎，或许只是只霸气的猫呢，做什么都要有自己主见，不要随波逐流。然后把心思放到自己该放的那一块上。术业有专攻，人人先把自己的事做好了，再把自己不会的事给擅长的人做，这样才是效率高的方法。以下纯属虚构，博君一笑。支付宝不好，可以不用。
360流氓，可以卸载。虽然自己手机，电脑里塞满了支付宝钱包，天猫，360等一系列产品，也似乎先暂时忘记了。
然后便是一场狂欢，向周围炫耀般的吐槽，好像自己发现了新大陆一般。心满意足hi够后，又继续心安理得的享受着那些免费的服务。
如果可以你可以先卸载完这些软件，然后最好可以找到一些超越它的替代品。那还是比较有骨气，有说服力，不会耽误大家的时间。那些发烧友孩纸是在迷糊的为替代品铺路么？
巨头打架，吾等还是闪开点好。对于那些乐此不疲的孩纸，还是先摆正自己吧。把自己分内的事做好。还有那些搬小板凳看戏，添油加火的同学。小心耽误了自己的时间，期末挂科哈)(^_^)Y
习大大说的好，不造谣，不传谣，空谈误国。
作为一个听众，抑或作为一个自媒体时代的传播者。我们应该要有自己的主见和坚守。这是最起码的要求。一屋不扫，何以论天下。
Bye bye.学生狗再不预习就要挂科了。
此文让我联想起了前段时间的：微支付、微商店VS马云
支付宝的客户端证书确实是“偷偷”安装了根证书的，因为他的根不受微软邓浏览器的信任，如果不“偷偷”安装，查看客户端证书时就会出现不受信任的提示。几年前，支付宝的客户端证书好像出现一次严重事故，因为证书用途没有细分，客户端证书居然还有签名exe等程序的功能，被用来签名恶意软件了。
我是针对那个让禁用rootca的说法来唠叨两句的。大家需要注意，这个所谓rootca是根ca给自己的cn项的名字，不一定就是这个宝的，其他的ca也可能用这个，比如说哥，创建根ca的时候就习惯起这个响亮的名字。小伙伴们，删除前最好备份。
你（用户）和铁路之间的通信内容必然是铁路知道的，包括你在12306网站的用户名密码购票信息等，铁路有必要再制造一个假证书来截留你和铁路通信的数据吗？12306网站生成证书就是用语加密用户与12306的数据通信，这些加密都是为了不使第三方破解通信的内容，什么是第三方？第三方就是黑客、流氓软件、中间路由等等想知道你银行卡密码的一些人，第三方一旦知道了你和铁路的通信内容，就会导致你的损失，这也是最近的新闻〈12306〉密码失窃的重大影响，已经有新闻指出，因为你（用户）滥用抢票软件（信任流氓软件），导致你在12306的用户信息被第三方掌握，这就是泄密的原因。没有真正安装根证书的人则不会知道的更详细。旧的12306证书错误是因为证书签名的网址和当前访问的网址不对应，导致网站不受信任。现在这个问题已经修正了。没安装12306的根证书会出现上图。没安装12306的根证书会出现上图。根安装过程如下：1）打开certmgr.msc2）选受信任的根证书一栏。3）选菜单：任务-&导入：选择12306的根证书：srca.cer，出现下面窗口。提示说系统无法确信这个根证书是不是真的是从12306那里得到。（这里存在一个安全隐患，后面详细分析）4）在12306的证书安装指南里指导你在上面这个窗口里选”是(Y)"，于是证书安装完毕。5）可以查看12306的证书，有效期从到上面这张图表明，srca是顶级根证书。上面这张图表明，srca是顶级根证书。6）12306网站再打开是下面图片：现在12306存在的一个安全隐患是：根证书的分发问题。这个根证书，通过网络下载而来，你不知道它是不是真的是从12306网站那里传输过来的，这时候就产生了中间人攻击的可能性，但只是可能，实际上没那么慌，可能性几乎等于零。这个网址列出了中间人攻击的详细解释：简单说中间人攻击就是黑客伪造一个证书，文字信息和12306的根证书一样，欺骗终端用户（你）去下载（有很多办法，比如第三方网站上提供下载；或者利用DNS污染，让你跳到一个错误的钓鱼网址去下载；qq传输等），并让用户误以为是12306的证书并安装到“受信任的根证书"里去。当用户安装了假的根证书以后，黑客还要利用dns污染之类的方法，让用户试图访问的时候，跳转到一个钓鱼网址（错误的ip地址），然后才能套取用户的登录密码。这种攻击可能在用户通过公共wifi服务上网的时候出现，当你登入到一个不知道是不是可信的wifi热点的时候，数据有可能被黑客在路由上做手脚。实际上要实现上面的攻击，不是那么容易。假设你已经安装了正确的12306根证书，但黑客把你导向一个钓鱼网站（伪造的12306)，这时就会出现：因为你没有安装黑客伪造的根证书，所以又会指示你重新安装根证书（假的）。或者黑客网站根本不要求你访问的时候用https，那就没证书问题了。因为你没有安装黑客伪造的根证书，所以又会指示你重新安装根证书（假的）。或者黑客网站根本不要求你访问的时候用https，那就没证书问题了。实际上国内很多网站都有自签名的根证书，比如支付宝:比如CNNIC，中国互联网信息中心这些根证书都不是预先安装在windows系统里的。所以证书的来源有被黑客利用的可能。这些根证书都不是预先安装在windows系统里的。所以证书的来源有被黑客利用的可能。解决证书可信度的办法有几条要点：1）这个提示框里红圈处提供了证书指纹，所以只要真正的12306、支付宝等网站在它的页面提供根证书的指纹，你可以通过对比你得到的证书的指纹是不是和网站上提供的一样，来确定证书的真实性。2）安装根证书不要在第三方网络环境里进行，也就是说不要在公共网吧、公共wifi、未知热点等场所下载和安装证书。可信的网络环境有3G、4G联网，家里独享带宽的光纤或ADSL线路。3）避免在个人电脑里安装第三方来路不明的，不可信的软件。4）手机生产商在安卓手机里预先安装12306、阿里巴巴等网站的证书。遵循以上这些准则，黑客发起中间人攻击的可能行就没有了。