今天在##networking里跟老外聊天发现CNNIC CA那个事情，大家都被骗了…

• 很多教程都是，把cert删除了，就以为安全了，其实不然，再访问一次 https://www.enum.cn/ 那个cert又回来了。。。囧。。。正确的方法是禁止这个CERT的所有用途，并且添加到不信任证书区域里
• 关于certmgr.msc那一步操作，大家又被骗了。。。Windows的证书至少分两种，machine的和user的。很不幸 certmgr.msc 只是处理的是当前user的。正确的做法是 mmc 里添加证书管理模块然后逐个设置
  
• 即使每一步都做了，我发现Chrome依然能够打开CNNIC证书验证的的SSL页面。这是个bug吗？
• 我发现CNNIC这个ROOT CA可能用于将来IPv6/IPSec部署的。但是我不能确定IPSec是否一定会用现在系统里的PKI。老外说也有可能用的是PSK之类的。不知道读者有没有对IPv6/IPSec比较熟悉的？CNNIC ROOT CA这个举动会不会是和IPSec和IPv6有关