Windows 环境。

背景

具有 Internet 连接的 Windows 服务器会连接到 CA 服务器并自动更新受信任的根授权证书、CTL、STL 和已撤销证书。这发生在后台，需要用户的零输入或交互。

为什么要控制它？

许多政府环境喜欢关闭这种设置，因为这完全是为了控制。例如，当戴尔的 eDellRoot CA 证书首次被证明是一个漏洞时——微软并没有立即撤销它。它花了几天时间才最终出现在任何不受信任或已撤销的列表中。安全领域的许多人都觉得他们可以通过自己控制列表来更快地做出反应。许多人一旦通过各种渠道发现威胁就会减少威胁，而不是等待微软团队认为某些不安全的事情。

如何控制它？

通过本地组策略编辑器关闭自动根证书更新：

• 单击开始，然后单击运行。

• 键入 gpedit.msc，然后单击确定。

• 如果出现“用户帐户控制”对话框，请确认它显示的操作是您想要的，然后单击“继续”。
• 在计算机配置下，双击管理模板，双击系统，双击 Internet 通信管理，然后单击 Internet 通信设置。
• 双击关闭自动根证书更新，单击启用，然后单击确定。
• 关闭本地组策略编辑器。

请注意，这样做比关闭自动更新更安全。因为您仍然希望应用其他安全补丁。（假设您有互联网连接。）

如果您知道根 CA 的安装目录，那么您可以调整写入该目录的权限。如果您将该目录设置为仅可读不可写，那么您将阻止安装新证书。

此外，您可以设置一个警报系统，该系统会在该目录中的任何内容发生更改时通知您。这样，您可以允许安装新的 CA，并且您可以检查更改以验证它们。

这一切都可以在 Linux/Unix/BSD/Mac 操作系统中完成。