目前这方面是相当混乱的

以KUbuntu举例
ca-certificates包，KDE系统设置中的SSL首选项，Chrome的证书列表都是各自为政，Windows底下则certmgr.msc就好了

顺便说一下，刚刚才发现WoSign已经在各个平台、浏览器里扎根了，真的是一件相当可怕的事情。
wosign怎么了 看起来wosign也就是个坑钱的
提供免费的DV证书也算良心了

为了彻底删掉WoSign，我把它的上级StartCom给删除了。

你可以不信任 Certification Authority of WoSign，WoSign的根

WoSign 这个只把根弄掉现在没什么用……你看他们官网现在还是 StartCom 签的交叉根证书，本身他们就有一大堆，参见： https://github.com/chengr28/RevokeChinaCerts/wiki/ReadMe_Online(Chinese_Simplified)#%E6%B6%89%E5%8F%8A%E7%9A%84%E8%AF%81%E4%B9%A6

Certification Authority of WoSign 就是 StartSSL 簽的那個，他的其他根也都是自簽的從這個信任的。目前block這個之後測試效果良好。

看了下 https://buy.wosign.com/ 下方的客户列表，很多大厂在用啊。

其實是NSS的話，貌似一般找到Wosign的Root之後就不會往上找了，所以在NSS上吊銷掉root有用。系統內置的openssl的證書驗證的話只要信任了其中某個根就無解了。（其實NSS雖然說比較好用但是這個確實是超過了CA系統的spec要求實現的內容了。。。。

我作爲@chengr28的RevokeChinaCerts裏Linux和Android部分的author來告訴你，ca-certificates只管OpenSSL。Firefox和Chrome都是基於NSS的。還有其他一些諸如GNUTLS的實現也可能是獨立的certificate store。：-D

不太清楚 NSS 的工作机制……不过如果是 Windows 的话，交叉证书（StartCom 签的之类）和他们自己的根证书在系统看来是两张没有任何关系的证书，所以禁用他们自己的根证书其它交叉根证书不禁用也是可以用的，不清楚 NSS 是不是这种情况

只要某公司有一个小网站或者内部网站用了他家的证书，他就敢写是客户……

这么写有问题么？

没问题，但是很容易让人想歪