危险的根证书是一个严重的问题。从联想的SuPerfish到戴尔的eDellRoot，以及广告软件和程序安装的多个其他证书，您的计算机制造商或您安装的某个程序可能已添加到证书中，从而使您容易受到攻击。以下是如何检查您的证书是否干净。

在过去，这并不是一个容易的过程。但是，新的Microsoft工具可以快速扫描您的系统，并通知您是否安装了Microsoft通常不信任的任何证书。这是一个特别好的主意，可以在新的计算机上运行它来检查它们是否开箱即用来进行攻击。

更新：“Sigcheck工具在发布时不能在Windows 7上工作，但微软已经更新了该工具，现在它应该可以在所有版本的Windows上正常工作。所以，如果你以前不能让它工作，现在再试一次！

如何检查

相关：Download.com和其他捆绑SuPerfish风格的HTTPS Breaking广告软件

为此，我们将使用微软提供的Sigcheck工具。它是Sysinterals工具套件的一部分，该套件在2016年初更新了这一功能。

要开始，请从Microsoft下载Sigcheck。打开下载的.zip文件并解压sigcheck.exe文件。例如，您可以只将文件拖放到桌面上。

导航到包含刚才解压的sigcheck.exe文件的文件夹。例如，如果您将其放在桌面上，请在文件资源管理器(或Windows资源管理器，如果您使用的是Windows 7)中打开桌面文件夹。按住键盘上的Shift键，在文件资源管理器窗口中单击鼠标右键，然后选择“在此处打开命令窗口”。

在命令提示符下键入以下命令，然后按Enter键：

Sigcheck将从Microsoft下载受信任证书的列表，并将其与您计算机上安装的证书进行比较。如果您的计算机上有任何证书不在“Microsoft证书信任列表”中，您将看到它们列在此处。如果一切正常，并且您没有任何恶意证书，您将看到“没有找到证书”消息。

救命啊，我发现了一张坏证书！

如果在您运行命令后，sigcheck应用程序列出了一个或多个证书，而您不确定它们是什么，您可以尝试对它们的名称执行Web搜索，以找出它们是什么以及它们是如何到达那里的。

手动删除它们不一定是最好的主意。如果证书是由您的计算机上运行的程序安装的，则在您删除证书后，该程序可能只会重新安装该证书。你真的很想找出是哪个程序导致了问题，并完全摆脱了那个程序。如何做到这一点取决于程序。理想情况下，您可以直接从“卸载程序”控制面板卸载它。广告软件程序可能会将它们的钩子挖进去，并需要特殊的清理工具。即使是制造商安装的“合法”软件，如戴尔的eDellRoot和SuPerfish，也需要下载特殊的卸载工具才能将其删除。在线搜索删除您看到的已安装证书的最佳方法，因为每个证书的理想方法都不同。

然而，如果您真的想-或者如果您找不到具体的说明-您可以使用Windows的证书管理控制台手动删除证书。要打开它，请在“开始”菜单或“开始”屏幕中搜索“证书”，然后单击“管理计算机证书”链接。您也可以按Windows键+R启动运行对话框，在运行对话框中键入“certmgr.msc”，然后按Enter。

在此窗口中，根证书位于受信任的根证书颁发机构\证书下。如果有需要删除的证书，您可以在此列表中找到它，右键单击它，然后选择“删除”选项。

不过要小心：不要删除任何合法证书！这里的绝大多数证书都是合法的，是Windows本身的一部分。删除证书时要小心，并确保删除的证书正确。

在对上面的sigcheck工具进行修改之前，没有简单的方法来检查不应该存在的坏证书。如果有比命令提示符命令更友好的方法就好了，但目前我们只能做到这一点。

微软宣布将继续打击这种行为的软件。安装不安全根证书以执行中间人攻击(通常是为了广告)的应用程序将被Windows Defender和其他工具标记并自动删除。当发现下一个制造商安装的证书时，这应该会有所帮助。

图片来源：Flickr上的莎拉·乔伊(Sarah Joy)