android4.4kitkat的釋出帶來了一系列的改進，包括增強的安全性。雖然安全性可能會更嚴格，但訊息仍然可能有點神祕。持續不斷的“網路可能被監控”警告到底意味著什麼，你應該關心，你能做些什麼來擺脫它？

Dear How-To Geek,

I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are t*** of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”

I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.

Sincerely,

Paranoid Android

這種情況正是我們不太喜歡在android4.4中實現憑證處理的原因。谷歌的心是在正確的地方，但更新處理它的方式（並警告使用者）是不雅觀的最好和不安的（不熟悉的終端使用者）在最壞的情況下。讓我們來看看警告資訊是什麼，以及你能做些什麼。

警告的來源

首先，讓我們解釋一下為什麼會收到這個錯誤訊息，因為Android在這方面幾乎沒有提供任何有用的反饋。您的**會維護一個受信任和使用者提供的安全證書列表。你在“可信憑證”選單中找到的“系統”下的長長的條目列表基本上只是一個古老的白名單，上面列出了谷歌為你的Android**預先植入的安全證書頒發者。基本上你的**會說“哦，好吧，這些人是值得信任的，所以我們可以信任他們頒發的安全證書。”

當一個安全證書被新增到你的**上（或者是由你手動新增，或者是由另一個使用者惡意新增，或者是由你正在使用的某個服務或網站自動新增），而它不是由這些預先批准的頒發者中的一個頒發的，那麼Android的安全功能就會啟動，並警告“網路可能會被監視”。從技術上講，這是一個錯誤準確警告：如果您的裝置上安裝了惡意/洩露的安全證書，則在某些情況下可能會監視來自您裝置的流量。公司或熱點提供商也有可能在自己的硬體上使用自己頒發的證書來實現這一目的（不過，通常，他們的動機更為溫和）。

不幸的是，發出的警告是不必要的可怕，它是不清楚的：如果你不知道什麼處理可信憑據和安全證書，那麼警告可能是二進位制的。

證書甚至不必是真正惡意的來觸發警告，但是，它只需要由不在受信任的“系統”列表中的機構頒發/簽署即可。這意味著，如果你簽署了自己的證書用於某些用途（比如建立與家庭伺服器的安全連線），那麼Android會對此表示不滿。這也意味著，如果您的公司自行簽署證書供內部使用，並且不支付正式簽署的證書的費用，您還將收到警告。

最後，我們非常確定這正是您的情況，如果您連線到一個安全的Wi-Fi網路，該網路使用的是一個頒發者的安全證書，該頒發者不在您**的受信任列表中，您將得到錯誤。從技術上講，正如我們前面提到的，該公司可能會出於惡意目的使用自簽名證書，但實際上大多數時候，您遇到此問題的原因是：1）該公司不想為其用於私人目的的公共證書支付費用；2）該公司希望完全控制證書的建立以及簽約流程。

如果您想了解更多關於警告的技術方面的資訊（以及新的證書處理系統讓更多人感到多麼不安），您可以檢視這些Android錯誤報告執行緒[1，2]和GeekTaco[1，2]上深入討論這個問題的兩篇博文。

你應該擔心嗎？

警告的措辭非常嚴肅，我們幾乎不會因為你有點驚慌失措而責怪你。但你真的應該擔心嗎？在絕大多數情況下，看到此錯誤的使用者並沒有看到它，因為有人在他們的計算機上安裝了惡意證書，他們現在處於危險之中。最典型的原因是我們上面概述的：使用自簽名證書的公司沒有在系統的可信證書目錄中列出，因為它們從來沒有由授權頒發者頒發。

考慮到有人對您使用惡意證書的概率很低，並且該證書導致警告的概率不是由公開驗證的證書頒發機構建立的非惡意證書，您不必驚慌失措。

也就是說，沒有理由保留未知的證書，也沒有理由忍受不適用於您的情況的警告。讓我們看看在這兩種情況下你能做些什麼。

你能做什麼？

來自合法來源的絕大多數證書都應該得到適當的簽名和驗證。在極少數情況下，您擁有一個未簽名的有效證書（例如，您自己建立的證書或您的公司正在將其用於內部網路），您可能會知道證書的來源，因為您參與了證書的**，或者與it人員的對話應該將事情弄清楚。

因此，除非您在企業環境中使用Android（在企業環境中，您應該與IT人員核實一下證書的交易情況，因為它可能是他們建立的），或者您自己建立了證書，最簡單的解決方案就是按住在“可信證書”類別的“使用者”類別中找到的任何未知證書並將其刪除（刪除按鈕位於資訊窗格的底部）。越少的未確定的鬆散結束（尤其是在您的證書列表）越好。

如果您有一個合法的證書，因為它在“使用者”列表而不是“系統”列表中而丟擲錯誤，您可以（自行決定並承擔風險）手動將證書從使用者列表/目錄移動到系統列表/目錄。這不是一項輕率的任務，因此，如果您不完全確信“使用者”列表中的證書是安全的，因為1）您建立了它，或者2）您公司的it人員驗證了它是他們的證書之一，那麼您不應該嘗試移動。

如果您對證書的安全性和來源有信心，那麼工程師和Android愛好者Sam Hobbs有一個清晰的手動移動證書的說明指南，另一個程式設計師和愛好者Felix Ableitner有一個開源應用程式，它可以在不使用命令列的情況下執行相同的任務。同樣，除非您對證書有迫切的（並且很好地理解）需要，否則我們建議您不要這樣做。

有急迫的技術問題嗎？給我們發郵件詢問@tl80.cn我們會盡力回答的。