今晚逛v2ex的时候看到有人说12306根证书的权限问题，也打开证书管理器看了下，结果吓了一跳：这货获得的权限比国产安卓软件还要疯狂，除了它本职的服务器认证，还拥有其他一大堆权限，比如代码签名、驱动程序签名等等等等。把这个证书放入被信任的根证书列表，就相当于在机器里开了一个大后门，12306及其背后的机构想偷偷给你装个什么软件，甚至什么驱动程序都有可能。在epay.12306.cn都已经申请了正规商业SSL证书的今天，主站依然强制用户导入它自己的根证书，背后的企图让人不得不往坏的方面想。

和之前支付宝插件的后门程序一样，既然被我知道了就不能放过它。
当然，可以不导入证书，无视浏览器的warning继续购票，
如果导入了证书，完全禁止证书可能会影响购票，所以只能将其作用域限定在它本职的服务器认证上，步骤记录如下。
注：本人用的是英文版win10，中文版的就看样子来吧。点击图片可看大图。

Win+R，输入mmc后确定，打开控制台界面：

点击菜单栏的File -> Add/Remove Snap-in:

在弹出的窗口左栏中选择Certificates（证书），再点击中间的Add按钮，添加到右栏后确定。在弹出的窗口中选择My user account后点击Finish。

现在控制台界面就变成下图这样了。接着按步骤来：
1. 点击左边的Certificates Current User-> Trusted Root Certification Authorities（受信任的根证书颁发机构） -> Certificates
2. 找到SRCA这个证书，双击它
3. 新开窗口中，选择Details选项卡，并找到Key Usage这一项，选中它以后，点击下面的Edit Properties按钮

选中Enable only the following purposes单选框，然后下面的一堆复选框中，只保留Server Authentication（服务器身份验证）选中，其他全部取消选中。这时候看看12306给自己加了多少权限吧。完成后点击确定退出即可。

这样就差不多了。还有一处应该改不改都行，为了心里舒服还是一起改了吧——
控制面板->Internet选项->内容->证书，
受信任的根证书颁发机构选项卡中，同样选中SRCA这个证书，点击高级按钮，
那堆复选框同上处理。

OK，世界安全了一点，心情更舒畅了。