android4.4kitkat的发布带来了一系列的改进，包括增强的安全性。虽然安全性可能会更严格，但消息仍然可能有点神秘。持续不断的“网络可能被监控”警告到底意味着什么，你应该关心，你能做些什么来摆脱它？

Dear How-To Geek,

I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are t*** of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”

I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.

Sincerely,

Paranoid Android

这种情况正是我们不太喜欢在android4.4中实现凭证处理的原因。谷歌的心是在正确的地方，但更新处理它的方式（并警告用户）是不雅观的最好和不安的（不熟悉的最终用户）在最坏的情况下。让我们来看看警告信息是什么，以及你能做些什么。

警告的来源

首先，让我们解释一下为什么会收到这个错误消息，因为Android在这方面几乎没有提供任何有用的反馈。您的**会维护一个受信任和用户提供的安全证书列表。你在“可信凭证”菜单中找到的“系统”下的长长的条目列表基本上只是一个古老的白名单，上面列出了谷歌为你的Android**预先植入的安全证书颁发者。基本上你的**会说“哦，好吧，这些人是值得信任的，所以我们可以信任他们颁发的安全证书。”

当一个安全证书被添加到你的**上（或者是由你手动添加，或者是由另一个用户恶意添加，或者是由你正在使用的某个服务或网站自动添加），而它不是由这些预先批准的颁发者中的一个颁发的，那么Android的安全功能就会启动，并警告“网络可能会被监视”。从技术上讲，这是一个错误准确警告：如果您的设备上安装了恶意/泄露的安全证书，则在某些情况下可能会监视来自您设备的流量。公司或热点提供商也有可能在自己的硬件上使用自己颁发的证书来实现这一目的（不过，通常，他们的动机更为温和）。

不幸的是，发出的警告是不必要的可怕，它是不清楚的：如果你不知道什么处理可信凭据和安全证书，那么警告可能是二进制的。

证书甚至不必是真正恶意的来触发警告，但是，它只需要由不在受信任的“系统”列表中的机构颁发/签署即可。这意味着，如果你签署了自己的证书用于某些用途（比如建立与家庭服务器的安全连接），那么Android会对此表示不满。这也意味着，如果您的公司自行签署证书供内部使用，并且不支付正式签署的证书的费用，您还将收到警告。

最后，我们非常确定这正是您的情况，如果您连接到一个安全的Wi-Fi网络，该网络使用的是一个颁发者的安全证书，该颁发者不在您**的受信任列表中，您将得到错误。从技术上讲，正如我们前面提到的，该公司可能会出于恶意目的使用自签名证书，但实际上大多数时候，您遇到此问题的原因是：1）该公司不想为其用于私人目的的公共证书支付费用；2）该公司希望完全控制证书的创建以及签约流程。

如果您想了解更多关于警告的技术方面的信息（以及新的证书处理系统让更多人感到多么不安），您可以查看这些Android错误报告线程[1，2]和GeekTaco[1，2]上深入讨论这个问题的两篇博文。

你应该担心吗？

警告的措辞非常严肃，我们几乎不会因为你有点惊慌失措而责怪你。但你真的应该担心吗？在绝大多数情况下，看到此错误的用户并没有看到它，因为有人在他们的计算机上安装了恶意证书，他们现在处于危险之中。最典型的原因是我们上面概述的：使用自签名证书的公司没有在系统的可信证书目录中列出，因为它们从来没有由授权颁发者颁发。

考虑到有人对您使用恶意证书的概率很低，并且该证书导致警告的概率不是由公开验证的证书颁发机构创建的非恶意证书，您不必惊慌失措。

也就是说，没有理由保留未知的证书，也没有理由忍受不适用于您的情况的警告。让我们看看在这两种情况下你能做些什么。

你能做什么？

来自合法来源的绝大多数证书都应该得到适当的签名和验证。在极少数情况下，您拥有一个未签名的有效证书（例如，您自己创建的证书或您的公司正在将其用于内部网络），您可能会知道证书的来源，因为您参与了证书的**，或者与it人员的对话应该将事情弄清楚。

因此，除非您在企业环境中使用Android（在企业环境中，您应该与IT人员核实一下证书的交易情况，因为它可能是他们创建的），或者您自己创建了证书，最简单的解决方案就是按住在“可信证书”类别的“用户”类别中找到的任何未知证书并将其删除（删除按钮位于信息窗格的底部）。越少的未确定的松散结束（尤其是在您的证书列表）越好。

如果您有一个合法的证书，因为它在“用户”列表而不是“系统”列表中而抛出错误，您可以（自行决定并承担风险）手动将证书从用户列表/目录移动到系统列表/目录。这不是一项轻率的任务，因此，如果您不完全确信“用户”列表中的证书是安全的，因为1）您创建了它，或者2）您公司的it人员验证了它是他们的证书之一，那么您不应该尝试移动。

如果您对证书的安全性和来源有信心，那么工程师和Android爱好者Sam Hobbs有一个清晰的手动移动证书的说明指南，另一个程序员和爱好者Felix Ableitner有一个开源应用程序，它可以在不使用命令行的情况下执行相同的任务。同样，除非您对证书有迫切的（并且很好地理解）需要，否则我们建议您不要这样做。

有急迫的技术问题吗？给我们发邮件询问@tl80.cn我们会尽力回答的。