网下传播的所谓「支付宝偷偷添加根证书，将形成安全隐患」 ...

@Ivony 的回答浅显易懂，说的不无道理。 我想再补充一下。顺便评论一下很多人提到的CNNIC乱入Windows和Firefox根证书机构的问题。

这个问题的关键在于支付宝私自添加根证书，是否有危害，危害大不大，对吧。

评论中和其他回答（如
@刘昊  ）以及里面的评论对于阿里巴巴作为一个根证书机构是否具备权威性，以及安全性是否能得到保障做了很多的讨论。我认为讨论的角度有点偏。 CNNIC、12306、阿里巴巴和很多其他银行的根证书之所以不应被信任，不仅是因为它们的公正性和可信度没有得到业界和公众认可，更重要的是，它们的根证书声明了远远超出需要的权限。
什么叫远远超出需要呢？阿里巴巴和各银行的根证书如果像很多同学所说，是为了为自己的网站签名，只需要有“服务器身份验证”的权限就可以了。如果需要为各种外置UKey签名，只需要“客户端身份验证权限”，而自己的软件需要认证，只需要“代码签名”权限。
那让我们看看CNNIC声称自己用用哪些认证权限。


再来看看12306的证书


什么叫<所有>，可能大家没有概念，各位可以点开证书属性看一下


选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。
那么有威胁的权限有哪些呢？看这里






有很多各位不需要专业知识，都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序，“合法的”向你的内核插入任意代码。而这一切，由于Windows支持后台推送更新，都可以在你完全不知情的情况下发生。相比于这个安全威胁，中间人攻击什么的完全是战五渣
==============================================
对于CNNIC被微软和Firefox接纳为根证书机构的事情，这些年讨论的越来越少了。当年CNNIC进入Mozilla的根证书机构时，Mozilla社区就进行了激烈的争论。英语好的同学可以自行翻看当年的帖子。有意思的是，虽然来自中国的很多小伙伴反复列举了CNNIC过去的种种恶行（估计如果是国外的公司这么干，估计不会有人还会信任它了），Firefox的副总Johnathan Nightingale却一直在为CNNIC辩护。我不想评论Nightingale的做法。但他就事论事、讲求逻辑和证据的态度值得大家学习。