本文来自依云's Blog，转载请注明。

WoSign 最近曝出一大堆问题，而且其处理问题的态度、解决问题的方式十分令人担忧。其官方形象也很糟糕，比如对国内 Let's Encrypt 用户进行 FUD 式威胁，比如只吊销了因 bug 误发的 GitHub 域名的证书，给某大学误发的证书视若无睹。具体问题有兴趣的可以去相关邮件组查看讨论。

这次问题我认为比起 CNNIC 要严重多了（最主要是这态度、这水准，就算它不主动作恶，也很容易被利用的样子），所以我获知情况之后就取消对了 WoSign 的信任。StartCom 签名 WoSign 的证书，所以需要一并吊销（反正也是一家人）。

火狐（桌面版）

依次打开「首选项」->「高级」->「证书」->「查看证书」，找到并选择 StartCom 和 WoSign 下的所有证书（使用 Shift 键可以选择连续的项目），然后点「编辑信任」按钮，取消弹出框中三个选项框的勾选。

Arch Linux

archlinuxcn 源用户直接执行命令：

sudo pacman -Sy revoke-disputable-ca

手动操作的话，是这样子。把需要取消信任的证书复制（不要软链接）到 /etc/ca-certificates/trust-source/blacklist/ 目录下，然后执行 update-ca-trust 命令即可。

我那个包里取消信任的证书是下边这八个：

CA_WoSign_ECC_Root.pem                    CNNIC_ROOT.pem                          StartCom_Certification_Authority_G2.pem  WoSign_China.pem
Certification_Authority_of_WoSign_G2.pem  StartCom_Certification_Authority.1.pem  StartCom_Certification_Authority.pem     WoSign.pem

Android

在「设置」->「安全」->「受信任的凭据」中禁用掉相关证书。这对 Opera Mobile 有效，但是对火狐无效。

目前还没找到火狐 Android 版禁用根证书的方式。

确认方法

访问 https://www.wosign.com/ 即可。

目前 USTC 已经更改证书，禁用这些根证书不影响 USTC 镜像源的使用。现在我因此不能访问的网站主要是 Python 邮件列表。