偶然发现奇游加速器会在系统里植入根证书

不会是要搞中间人吧

这是因为其中一种加速模式需要对 https 进行解密

往好了说，这类应用可能确实需要中间人做 ssl 卸载

你看看注册时候的条款，就不会纠结根证书的问题了。
21 年时候的条款有这些：
一、我们可能收集的信息
(-)
与个人身份无关的信息:
当您使用俊云服务时，我们可能收集和汇总诸如用户的来源途径、访问顺序等信息，例如记录使用俊
云服务的每个用户的来源途径、浏览器软件等。
(二)
有关个人身份的信息:
当您使用俊云服务时，我们可能收集和汇总或要求您提供有关个人身份的信息，例如个人身份证
明
(包括身份证、护照、驾驶证等);生日、籍贯、性别、兴趣爱好、个人电话号码、面部特征;网
络身份标识信息(包括系统账号、IP 地址、电子邮箱地址及与前述有关的密码、口令、口令保护答案
等);个人财产信息(交易记录、余额、优惠券、游戏类兑换码、银行卡信息等);通讯信息;个人
上网记录和日志信息(包括网站浏览记录、软件使用记录、点击记录、操作日志等);设备信息(包
括设备型号、设备 MAC 地址、操作系统类型、设备设置);软件列表唯一设备识别码(如
IMEI/android ID/IDFA/OPENUDID/GUID 、SIM 卡 IMSI 信息等在内的描述个人常用设备基本情
况的信息);位置信息(包括行程信息、精准定位信息、住宿信息、经纬度等)。
我们收集您的信息主要是为了您和其他用户能够更容易和更满意地使用俊云服务。俊云的目标是
向所有的互联网用户提供安全、刺激、有趣及有教益的上网经历。而这些信息有助于我们实现这一目
标。
请注意，如您在俊云服务中其他用户可见的公开区域内上传或发布的信息中、您对其他人上传或
发布的信息作出的回应中公开您的个人信息，该等信息可能会被他人收集并加以使用。当您发现俊云
的用户不正当地收集或使用您或他人的信息时，请与俊云公司客服热线联系。

"我都把你 qj 了, 你还担心我看到你走光"

有的加速器还会阻断谷歌。。你有软路由的前提下用了加速器你的谷歌无了

国产是这个样子的，

有些下载加速资源是需要劫持到他们的下载服务器的，很多加速器都会这么做

不仅仅他 迅游 雷神都会
加速方式会有加密，所有都用自己的自签证书

@aladdinding 起码是具备条件了。

@dishonest 可以理解，但是我认为应该在使用这种方式前有明显的提示。

@lcy630409 这个也可以理解，战网客户端也有，但是它的证书预期目的只有服务端身份校验。奇游的证书里，有一个是所有目的的。你再看看 windows 预置的根证书里有几个所有目的的。

楼上还说少了一个网易的 UU 加速器，它也会加证书。
说不定所有的网游加速器类的都会加证书

@HFX3389 说对了。要不然看不到信息，一些高级的加速功能就用不了

现在游戏的客户端，很多在里面嵌套 web 端，有些小活动都在 web 端，估计是为了加速这块

所谓加速器，无法是代理 或 vpn;
vpn 用的多。
网络都要 ssl 加密数据的。自建 CA 证书，自然比买 CA 签发的便宜。

@Fucter 月轮会有这个问题，加速之后 google 和 youtube 直接上不了，挺无语的

@aladdinding 会搞中间人，开启加速后，打不开 google ，返回 404 ，且证书是奇游

@xinyu391 这个我在别楼层里提过，就是预期目的可以只有服务端身份验证，如果只是为了自建 CA 做 SSL 的话，
也可以用 letsencrypt 不要钱。但是奇游的证书里有预期目的是全部的，整个系统里都没有这么多预期目的全部的根证书。并且没有对应的提示，这才是问题。

@zed1018 letsencrypt 只能用于自己有控制权的域名，自签想怎么签就怎么签，特别是这个还是全部

不知道游戏加速有哪些优化点，上面说的 vpn 或代理都只是一个通道，数据直接转发就行（不考虑细节），你要自己明文，被看光了当然是自己的问题，但是把你扒光就不一样了，他说一定不会看，那么可不扒（ vpn/代理）的情况为什么要扒了

所以不要用这种软的，在你系统内部胡搞，直接买个盒子呗。

不添加根证书也是完全可以实现加速的，就比如根据进程代理和 fake dns 实现透明加速。

添加根证书估计是为了解包之后做数据缓存。不然全部用户更新个游戏资源都重复拿数据，他们的国际线路负载会很高。

从双方都可以接受的角度来看，最多就是允许在游戏加速开启的时候启用根证书，软件关闭的时候要删掉。游戏加速器厂商并不具备 CA 的各种安全审计，颁发了什么证书也查询不到 log ，被有心之人利用就麻烦了。

@coolcoffee 是这样，他们不光断开不删除，之前版本安装的也不在更新的时候清理。

借口罢了，就两种网络协议，TCP 和 UDP 都不需要解密 tls 就能做加速，而且国内网游加速器并不便宜，一个月好几十还这么扣扣嗖嗖的真不觉得是。

@DefoliationM 是的😅

楼上的都不考虑成本的吗?
现在一个游戏随随便便几十 GB.全部用户挤着一起走专线下一遍,还是缓存一遍然后 MITM 游戏下载域名转发到自己的 CDN 缓存便宜?
既解决速度问题,也解决高成本问题
还有谷歌验证码(google.com)重定向到国内直连的(recaptcha.net)
youtube.com 反代框架 js 解决一些访问问题(例如 steam 创意工坊大图,一些游戏内嵌网页框架加载)
都是特殊环境下的特殊解决方案罢了

我给大家解释其中一种用法，仅限 Game Center(squidV2.crt)这个证书：
打开这个证书，你就会发现它指定了一堆游戏商店的 CDN 域名。（有同学应该已经能猜出他们拿这个证书干嘛用了

具体怎么实现的呢？奇游加速器的 qeetm.exe 这个组件会在你的电脑上起一个反向代理


测试一下，把 curl 改成 EAUpdater.exe ，试着给 EA 的服务器发个请求，神奇的是这里请求的 IP 地址不是什么远程服务器，而是 127.0.0.1


把 qeetm(127.0.0.1)的流量转给中间人抓包看看，答案就出来了。


结论：
奇游给游戏大厂 CDN 自建了个国内镜像（缓存服务器）用来给用户加速游戏下载，自签证书而非直接代理 TLS/TCP 是为了省 CDN 回源国外内容时产生的带宽/流量费用。

雷神加速器差不多也是这样干的。

公司是做这类加速器的，一般用于游戏下载加速，劫持到对应的文件缓存服务器。
不是用于游戏本身的通讯加速，毕竟除了一些较新的游戏可能用了 tls/ssl 加密，普通游戏都是 tcp/udp 明文传输（排除部分游戏自行加密的），跟本没有劫持的必要。

@epiphyllum
官方人员？

你感觉加速器什么原理?

看了下我电脑的根证书，确实也发现了雷神加速器的证书
[img][/img]

@epiphyllum #28
懂了，加速下载用的。

既然是这样能不能让用户选择不加速网络下载，仅加速游戏

如果这些厂商上点心，完全可以在证书里指定要 MitM 的域名，这个叫 Name Constraints 。即使这个 CA 的私钥被攻击者掌握了，它也只能签发这几个域名的证书，签发其他的证书都无效。这样既能够保障用户安全，又能起到加速的作用。

@e3c78a97e0f8 什么点心，甜不甜（

改进的办法有很多，但是嘛，我不觉得他们会做。因为他们根本没有这种安全意识。

按因果来讲，如果他们有安全意识也不会被我被动的偶然发现植入根证书了。

@gesse #30 哈哈不是，要不然我也不用上手分析了

@timeance #33 原理上肯定是可以的，但那些加速器厂商多半不会花工夫去做

国内的游戏加速器可以说全都是“傻瓜化”的，开了会员点一下就能开启加速，某些加速器稍微动动鼠标就能在不知不觉中获赠“CA 证书、虚拟网卡、系统代理、禁用 IPv6 、开机即自启的 WFP 驱动”等一系列全家桶。

说到底还是加速器厂商太懒太菜导致的。卸载/关闭软件时明明可以删 CA ，装的证书也可以少些几个用途。非静态资源也用不着解密 TLS 流量……

许多游戏玩家并不是这些专业的从业人员、在读学生或者极客/爱好者，这种情况下大多消费者只能简单地通过加速快不快、延迟低不低、价格贵不贵来选购产品。

要是加几个设置，多几个需要同意的复选框的花，估计又会：
“别人家的加速器一点就能玩，你们的怎么还要同意那么多设置？”
“我看到它说不安全就没勾选这个，结果下载速度就变成 0kb/s 了？”

这导致给厂商施压逼迫他们作出改进的人太少，简单地添加同意选项/设置又费力不讨好。加之同样身为打工人的加速器开发者也多半懒得去执行上司没安排的任务，充满安全风险的代码和配置就这样被塞进了用户的电脑。

只能把期望放在网络安全教育的普及上了。无论如何总要有人逼着他们，这样他们才肯改。

@epiphyllum #37
是啊，产品肯定不会搞这些“吃力不好好”的事情

其实给我一个选项，能够选择不加证书也好，哪怕入口深也没关系

楼上已经给出答案了，加速器本身需要通过一些非常规手段时间加速。

雷神加速器,劫持了亚服战网,下载暗黑 4 速度能到 100MB,这明显就是用自己在国内的 CDN,

@epiphyllum "自签证书而非直接代理 TLS/TCP 是为了省 CDN 回源国外内容时产生的带宽/流量费用。" 你这个结论是怎么得出来的？“自签证书而” 与 节省“带宽/流量费用” 的理论依据是什么 ？

@epiphyllum 看懂你的意思了。 这个做法有点简单粗暴了。

证书是太敏感了。但凡拿上抖音一顿“科普”+输出，这加速器就凉了

https://learn.microsoft.com/zh-cn/sysinternals/downloads/sigcheck

sigcheck64 -tuv



你可以试试这个工具，我这边只扫描出我自己创建的一个证书，网上找的据说能扫描出非系统的证书。

我一直在用中国移动加速器,但是根据楼上的方法测试这个加速器没有在我的电脑里安装奇怪的证书(安装目录下有个 YBB Game boost 的证书,但实际上没有安装).加速效果也还不错,但是下载加速确实一般.如果对这个有需求的可以试试(不是广告

@epiphyllum #38 指望什么网络安全教育完全是跑偏了。这事放国外几个加速器厂商能被告到破产，难道外国游戏玩家网络安全意识比国内的更高？根本就是违法成本几近于 0 的原因，换个法治严苛的地方，再怎么损失用户这帮孙子也不敢不告知用户就这么干。

要隐私就少上网

@alexhx #47 “指望网络安全教育普及”只是一种相对“指望违法成本提高”而言稍微现实点的梦想。

实际上游戏加速器这种东西就不应该存在，互联网本该是畅通无阻而且高效可靠的。

@epiphyllum 你好，请问是使用什么工具看得，能分享一下吗？

@body007 扫出来一个 MicrodoneCA

@body007 我扫出一个计算机同名的 还有对应私钥 不知道是什么加的。。。

雷神加速器也有 我刚发现卸载好久了根证书还留在那

@way2create #51 大概率是 mstsc

@zed1018 这样吗？ 我这台电脑远程桌面只是开过 平时一直关的 别的电脑常年开的居然没发现这个证书 不过别的是 win10 这个 win11

@journalist @way2create #52 只要你不信任这个证书随便删除，即使删除系统证书，window 系统也会自动下载（如果不想删除，也可以右键属性，选择禁用此证书的所有目的）。

其实走自建 CDN 成本比走下载专线高，也比走下载专线快
只有热门游戏才有这个自建 CDN

@itakeman #50 第一张图中查看进程的工具是 System Informer （原 Process Hacker ），后面的分别是 curl 、Proxifier 和 Reqable 。

@body007 暂且删了 想起之前工作电脑 工作需要装了那个深信服的 easy connect 的根证书 删了禁用也没用 每次用都会改回去

有各种品牌证书，

@way2create #59 这不是实锤了深信服监控数据嘛。软件给了管理员权限后都不可控啊，有条件双电脑用。之前有人电脑安装虚拟机，虚拟机里面系统网络走加密代理。

@body007 工作电脑无所谓了 家里我是打死不装这玩意 看来对 windows 的了解还是比较粗浅 我以为这种级别的操作权限没有那么大 毕竟有时候自己操作命令行都要管理员运行的 没想到这些软件安装了就能搞那么多事情 之前去修改默认防火墙的规则也是 每次启动软件又自动改回去了 只好在别的地方进行限制了

@way2create #62 毕竟专门做那些软件的比我更懂，都是博弈的过程。慢慢提高自身能力额😁

@LisaSue 软件使用证书是不需要安装到系统的，例如 curl --cacert rootCA.pem https://web.com ，很多私有化环境都是自建证书并指定证书文件。安装到系统的证书可以让所有程序都使用（例如浏览器访问时不会提示证书不合法，有问题的网站当然希望它们的证书安装到系统咯），不安装则用到的软件自己读取证书文件就行。

奇游装证书没什么稀奇的，国内类似的操作不少，绝大多数并不是图什么“监控个人隐私”，纯粹是国内互联网畸形下的无奈方案。

当然也不是没解决办法，不过游戏加速还是属于比较“小众”的需求，厂商几乎不会大幅改进他们的技术原理。

实在介意可以自己动手：Proxifier+你们常用的梯子

@way2create #52 RDP 加的？

@HFX3389 我也不清楚 有复现步骤吗 被我删了 目前没再出现

这种本机加速的操作正常吧，前几年 goagent 盛行的时候，不一样都往自己电脑上安装 goagent 的根证书么？更何况刚开始 goagent 的根证书还是一个通用的，后期才改成临时生成一个。

国内游戏加速器，VPN 软件，数据防泄漏软件添加自己的 https 根证书是基本操作。