CNNIC 终于被贵朝网民们一致鄙视了。其实朕对移不移除它的 CA 纷纷表示影响不大,不过这实际上是个态度问题,丫的劣迹确实不少了。

1、在 firefox 去掉对 CNNIC CA 的信任。

菜单 —> 编辑 —> 首选项 —> 高级 —> 加密 —> 查看证书。把 CNNIC 和支持 CNNIC 的 Entrust 的认证取消掉。详见这里

2、对于 Debian/Ubuntu,可以在系统的级别上全局移除 CNNIC 的 CA。通过 dpkg-reconfigure ca-certificates 这个命令。其它 Linux 类推。详见这里

3、取消对 CNNIC 的证书信任之后,会发生诸如 163 的邮箱不能通过 SSL 方式登录的情况。对于 firefox,可以在仍然不信任这个证书的情况下,单独为 163 添加一个例外。这个为单独的站点添加例外的功能很重要,因为有些网银可能也会用 CNNIC 的证书。用 IE 之类的话,就只能信任 CNNIC 才能继续使用了。