月光博客 » 软件应用 » 为什么在12306买火车票要装根证书?

为什么在12306买火车票要装根证书?

  12306主页上有一段很显眼的文字—--“为保障您顺畅购票,请下载安装根证书。”这段文字和12306很多的其他问题一起成为网友诟病12306的话题,但是这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西。

  为什么在12306上买火车票要装根证书?想要回答这个问题,那么我们就必须先要提前回答说几个定义:

  电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下,交换敏感信息必须要通过这个方式来进行。包括12306在内,淘宝、京东等在交换敏感信息的时候都使用了SSL进行加密。

  那么,我们怎么知道网站是否使用了SSL加密呢?最简单的办法就是看看地址栏——如果网址前面写的是“https://”,那么这个页面就是使用SSL加密的。这意味着你访问的页面是安全的并且可以用来交换敏感信息。如果你使用的是Internet Explorer 7或者以上版本浏览器,你应该能在浏览器地址栏的最右边看到一把小锁头。就像下图所示的那样。点开这把小锁头,就能看到关于https的信息。

为什么在12306上买火车票要装根证书

  用其他浏览器呢?现在流行的浏览器中,全部都会标示出来该网页是使用了https以防止窃听和用户的个人信息安全的。比如下边的图就是在Firefox中使用https浏览维基百科的画面。

为什么在12306上买火车票要装根证书

  但是,谁又能保证https的安全呢?这里就又是一个概念:数字证书认证机构。它的译名很多,不过大致意思对就可以了。英文Certificate Authority,经常被缩写为CA。下文中也使用“CA”来称呼数字证书认证机构。

  CA是一个机构——打个比方,这就像是信用卡一样。一个人向银行申请信用卡,就像网站向CA申请证书。CA觉得网站的信用合格,就签发SSL证书;银行觉得申请者的信用合格,就签发信用卡。等等,什么又是“SSL证书”呢?这就是CA签发给网站用以证明网站身份的“信用卡”。有了SSL证书,加密网页才能被信任。当你在访问一个被https加密的网页时,网页会出示一份证书,这份证书有助于用户信任这个网站。没有正规CA签发的证书的网站是不会受到浏览器的信任的——就算你用了SSL来加密也没用。

  再看看前面的两张图片。第一章支付宝的截图中,CA就是:VeriSign Class 3 Public Primary Certification Authority - G5

  第二章维基百科的截图中,CA是:DigiCert Inc

  浏览器又上哪知道CA是正规的呢?那就是根证书库,这是一个操作系统认为可以被信任的CA的名单。几乎每个能上网操作系统(甚至包括诺基亚最弱智的S40系统)都有一个。在这里用Mac做示例。Mac的根证书库在:

  Finder-应用程序-其他(提示:OS X Lion或者以下操作系统叫“实用工具”)-钥匙串访问

  然后在最左边找“系统根证书”,点进去便是。看到的应该如下图所示。

为什么在12306上买火车票要装根证书

  可以试着找一下VeriSign Class 3 Public Primary Certification Authority - G5—--肯定能找到!每次浏览器浏览https网页时,都会把网站出示的证书在这个库里面找一圈,能找到就OK,找不到的话,就证明你这个CA是不可靠的!

  SSL加密的目的除了保证用户信息在传输过程中的安全外,还保障了服务器的身份。有些简单的SSL证书仅仅需要用该网站域名的邮箱向CA发封邮件就能签发了——不过如果是一个组织、团体、基金会或者盈利性机构(尤其是类似于支付宝或者PayPal的网络支付服务),那么SSL证书的签发就会变得十分繁琐。网站需要提供大量的文件以证明该网站是可靠的。如果能够证明该网站是可靠的,CA才会给签发证书。

  还有一种证书被称作EV SSL证书(Extended Validation SSL),这种证书遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书。这种证书显示起来,就是俗称的绿色地址栏证书。在IE 7和以上IE浏览器便会出现绿色地址栏,并且滚动展示该网站的信息和CA信息。如下图所示。

为什么在12306上买火车票要装根证书

  EV SSL的申请手续更复杂,申请费用也更多,但是可以换来更多用户的信任。左图是Firefox下显示EV SSL证书的样子。这个证书证明了这个网站的经营者为Wikimedia Foundation, Inc.,并且位置位于San Francisco California, US

  据一个叫做VeriSign的CA的统计,使用EV SSL能大幅提升用户对于网站的信任。

为什么在12306上买火车票要装根证书

  总而言之,SSL证书的目的有两个:

  • 确保网站和用户之间的数据是加密并且可靠的
  • 确保网站所宣称身份的真实可靠

  如果访问12306.cn会出现什么情况呢?12306的确使用了SSL来加密以保障网页的安全,而访问直接访问12306就算不安装根证书也不会出现任何问题。以Chrome为例,访问主页不会出现任何问题,但是若要访问购票页面就会无法访问,如下图所示。

为什么在12306上买火车票要装根证书

  12306会让我们访问一个叫https://dynamic.12306.cn/otsweb的网址。如果我们直接用Chrome访问这个网址呢?华丽丽的一幕出现了:

为什么在12306上买火车票要装根证书

  使用IE8浏览这个页面会出现这样:

为什么在12306上买火车票要装根证书

  回到Chrome,如果我们点击“仍然继续”,就会正常的看到购票页面没有任何阻力。IE8也是一样,不过IE8的地址栏整个都会变成红色的。

  如果我们点击旁边的小锁头来查看关于这个证书的信息呢?会出现下图。

为什么在12306上买火车票要装根证书

  再点击“证书信息”,会看到这个12306的证书是一个叫做SRCA的CA签发的。

为什么在12306上买火车票要装根证书

  但是在“钥匙串访问”里面根本没有一个叫做SRCA的CA。

  如果安装上了首页给出的“根证书”,(依然以Mac为例)钥匙串访问里面就会有一个叫做“SRCA”的CA!并且本来这个证书是不受信任的,安装之后就会被设置为“此证书已被标记为受此账户信任”。

为什么在12306上买火车票要装根证书

  这样的话,浏览器和操作系统就会信任这个证书,便不会给予CA信息不对的提示了。

  “SRCA”又是何许人也?在上图中,可以看到SRCA的细节部分,“组织”填写的是Sinorail Certification Authority

  这也就不难分析了,“Sinorial”中的“S”和“R”,“Certification Authority”的“S”和“A”,就拼出来了“SRCA”。

  在搜索引擎中搜索Sinorail Certification Authority中的Sinorail,就会找到这样一个网站。叫做“中铁信息工程集团”。网址就是http://www.sinorail.com/。

  听名字就知道这网站跟12306肯定是亲戚关系。换种话说,就是自己给自己发证书。你说这证书能可信吗?

  正规CA的证书可不是白给的。要不然CA靠什么吃饭?一个SSL证书从每年三百块RMB到一万五不等。据我所知,最贵的证书是VeriSign签发的,一万五的那个就是他。而便宜的三百块证书——只要不是VeriSign,其他CA签出来的最便宜的证书差不多都这个价。比较便宜的代表是Go Daddy、Comodo等。为什么12306要使用自己给自己的证书呢?貌似唯一的合理解释就是省钱。能省大概三百到一万五不等。

  铁道部有时候买一张火车票就差不多够一年的证书钱了。

  那么又为什么说铁道部用自己的证书不安全呢?有些人在12306上买票时会看到“该站点安全证书的吊销信息不可用,是否继续”的提示语,这又是什么意思呢?

  从前有个倒霉的的荷兰CA,叫DigiNotar。这CA被黑客攻破,导致这家CA办法给一些用户的证书的私钥失效(私钥是在SSL加密环节中非常重要的东西),这就使得以这家CA的名义伪造证书成了可能。黑客可以通过这家公司的名义伪造证书给一些非法网站,客户一看这是加密过的还是大型CA签出来的证书便很容易信任。因为DigiNotar名气很大,并且很多大公司都使用它的证书,微软等操作系统厂商在这事情发生之后开始忙不迭的发布更新补丁来宣布DigiNotar的证书失效。

  微软在 KB2607712 补丁中宣布了DigiNotar的根证书无效。原文如下:

Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书,DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户(包括 Internet Explorer 用户)执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞,但是此问题会影响 Microsoft Windows 的所有受支持版本。

  这家倒霉公司最后因为这件事华丽丽的破产了。

  正如这件事一样,有些知名CA出了事,微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA,尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA,人还懒得管你呢!那么小CA的私钥失窃之后会有什么不就措施呢?那就是证书吊销列表,英文全称Certificate revocation list,简称CRL。下文也称呼它为CRL。更详细的内容可以参考这里这里(英文)

  CRL是干什么的呢?比如你买的证书被盗了,只要将信息报告给CA,那么CA就会把你这个证书的信息添加到这个CA的CRL中,每次浏览器浏览加密网页时,都会检索CRL信息——如果没有的话,就会提示该站点安全证书的吊销信息不可用,是否继续。想必读到这里大家也都知道了,12306的证书没有CRL信息。这也就意味着,12306所使用的证书一旦失窃,系统厂商不会管这个,甚至连最后一根救命稻草CRL都没有。

  简而言之,如果证书出了事,两种解决办法:

  • 系统厂商发补丁宣布该证书失效
  • 通过CRL宣布证书失效

  不过可惜的是12306出了事,这两招哪一个都不顶用。

  如果证书失窃,会有什么后果?最可能的后果就是像前面的倒霉蛋一样倒闭。不过我大天朝铁道部(尽管已经倒闭)欠了两千多亿还巍然不动,这个可能便没有了。前面提到的两种解决方案一个也用不了,这就意味着遭殃的一定是用户。证书失窃,任何人都能用此来伪造虚假证书。尽管SRCA颁发的证书默认是不受到系统信任的,但是中国这么多去过12306网站买过火车票的人——假设所有人都安装了这个根证书使的系统对此证书信任——一个绿色地址栏都能提升用户这么大的信任,违法网站只要获得了SRCA颁发的证书,岂不就能轻易骗得用户的信任?

  如果你是Mac用户,并且访问https://www.12306.cn没有任何障碍,那么可以参考这个视频中的步骤来将SRCA的证书设为不信任。如果要购票,反其道而行之即可。

  从证书的角度看,中国很多大佬都做的非常不到位。比如我手里的建行网银,在安装U盾的时候必须安装一个网银根证书。SSL证书方面中国也做的很不到位。比如京东只有在用户登陆的时候才用了SSL来加密,而京东甚至在下订单的时候依然是明文传输。新浪微博在更改个人敏感信息时仍然使用明文传输,而twitter在早期甚至连微博内容都用https。如果使用不加密的公共Wi-Fi的话,那么在同一个Wi-Fi热点下有一个黑客,黑客便可以非常轻松的窃取到你的个人信息。

  P.S.:现在12306在付款的过程中使用了VeriSign签发的合格的证书,但是这样并不代表着上面所说的可能造成的严重影响不会发生。

  EV SSL介绍:http://www.wosign.com/EVSSL/index.htm

  这个地址打开后便可以看到EV SSL的效果:https://www.evssl.cn/en/

  HTTPS - 维基百科:https://zh.wikipedia.org/wiki/Https

  来源:techyan投稿,原文链接

  更新:2017年12月12日更新,12306网站终于支持SSL证书了,之前多年该网站都使用自己签发的证书。新证书于2017年11月29日生效,由DigiCert签发。 ​​​​

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    EMLink   说道:
    问题不是在于自己给自己发证书,而是在于它与某墙(我不知道墙在什么国家)有关。
    支持(47反对(13回复
  1. 2
    f1098   说道:
    我更觉得有后门的嫌疑。所以只在虚拟机进行这一操作。
    小雨 于 2015-7-8 12:47:06 回复
    我也有相同的疑虑,明明自己有合规的证书,却偏偏要求把自己的CA安装到根证书里,或许正是为某国留下后门。之前CNNIC不就出事了么?它在证书链里面,还有机会被上级颁发机构注销。而这个呢?不可想象
    支持(44反对(20回复
  1. 访问过12306的同学,要注意安全了。证书问题是涉及到真正系统网络安全的问题,不是任何安全软件所能弥补的。
    支持(38反对(18回复
  1. 4
    _9日_   说道:
    转一下,狠狠黑12306
    支持(28反对(11回复
  1. 5
    coolwdp   说道:
    几亿的项目结果却买不起几百,最多几千的SSL证书。。。。或者理解为就是为了以后钓鱼方便?
    支持(33反对(22回复
  1. 6
    路过的哈哈哈   说道:
    钱不是问题,问题是铁道部就不担心被VS黑?一个中铁,比得上很多小国家了,用国外一个公司做加密授权,换个姿势让米国试试?有人还说审查问题,你买什么火车票,还用窃取资料?这特么都是直接联网报警的好不好?当中国没有TSA啊!真不明白除了事实上麻烦之外有什么可以黑的。除非就是诛心,把6FW的气撒在老铁上。
    鬼语 于 2013-5-11 10:05:09 回复
    嗯,博主的这篇文章黑的确实不到位,铁道部是国务院下属机构,每年如此多的客流量,加上实名制。如果真用国外机构颁发的证书,呵呵,换位思考下,呵呵

    评论里认为,人家不愿意买证书的人,智商捉鸡
    鬼语 于 2013-5-11 10:15:30 回复
    说起安全...ssl非对称密钥包含公钥与私钥,公钥在浏览器访问的时候由服务器发送给浏览器,浏览器本身也集成证书颁发机构的公钥,私钥存在与服务器上,私钥怎么来,向证书办法机构申请。私钥用来解密通讯。由此可见,对于一些国家级的数据来说,想境外证书颁发机构申请ssl,简直就是自掘坟墓....
    Z 于 2013-5-21 12:03:19 回复
    那么支付宝呢,是用VeriSign证书,建行也是VeriSign证书。那不是也有风险?国内没有好点的证书颁发机构吗?
    pgmsou 于 2013-11-8 19:02:51 回复
    几位就别秀智商了,证书颁发机构颁发证书的作用是认可网站的安全性,就像什么iso标准一样,通过人家的审查了,就给你个标志,不涉及任何安全问题,网站的私钥肯定是自己保存的,任何别人都不会知道。

    根证书的作用,就是为了认证。试想,全世界多少网站,浏览器怎么知道你这个网站安全?所以,它会根据是否通过了证书颁发机构是否发给网站证书认证来确认安全的,那么它只需要认识那几个根证书就行了。

    真正的争端是,我国也想弄个根证书机构,但是国际上不承认,为什么呢?因为你审查的不透明,人家不是给钱就认的,你就达不到人家的安全标准。可是我们不服啊,铁道部肯定是支持自己人的,就是不用你国外的,就成现在这个样子了。
    222 于 2015-2-8 11:49:02 回复
    分享一个福利网站 suo.im/rw5tw 我是雷峰 不谢
    gamexg 于 2017/7/13 15:35:50 回复
    >钱不是问题,问题是铁道部就不担心被VS黑?一个中铁,比得上很多小国家了,用国外一个公司做加密授权,换个姿势让米国试试?有人还说审查问题,你买什么火车票,还用窃取资料?这特么都是直接联网报警的好不好?当中国没有TSA啊!真不明白除了事实上麻烦之外有什么可以黑的。除非就是诛心,把6FW的气撒在老铁上。



    不知道就别乱说。
    找证书签发机构签发证书只需要向证书签发机构提供公钥,私钥还是在自己手里面。看名字就知道,公钥时公开的,你访问网站时网站就会提供公钥,这个根本不保密。

    私钥才是重点,这个是严格保密的,找证书签发机构签发证书时并不需要提供这个。想要解密网站的流量必须要有私钥才行,也就是除非网站自己泄露,不然不用担心证书颁发机构解密你的流量。

    对了,证书颁发机构也不是没办法解密你的流量,他直接自己签一个你的证书外加在骨干网拦截你网站的流量做中间人攻击就能截获数据。

    但是这个和你是从哪家签的证书没关系,全部的证书机构都有能力给任意网站签发证书,即使网站从未在这个机构签发过证书。
    支持(39反对(29回复
  1. 7
    小型地源热泵   说道:
    好长的文章,没什么耐心看那么多技术性的东西,只看到这样一句“这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西”,可是怎么办呢
    红鹰是谁 于 2015-5-20 17:31:03 回复
    直接去窗口买就完了
    支持(19反对(10回复
  1. 8
    starriv   说道:
    真心长姿势了。。。
    支持(19反对(11回复
  1. 9
    Avedge   说道:
    啧啧,拿几亿人的信息安全在做赌注.
    支持(19反对(12回复
  1. 10
    ItsMrLiu   说道:
    一档堵在的后果
    支持(18反对(13回复
  1. 11
    Ben   说道:
    前几个月也有一个 adobe的证书问题,
    adobe点com/support/security/advisories/apsa12-01.html
    谁有内部消息到底那个证书是怎么坏的?
    支持(17反对(12回复
  1. 12
    eucl   说道:
    “换种话说,就是自己给自己发证书。你说这证书能可信吗?”

    不敢苟同啊,VeriSign、GoDaddy 的证书就是自己颁发的。所以你不信它不是因为这个。
    支持(21反对(17回复
  1. 13
    行业   说道:
    就是那一句话我就不想去哪个网站了,搞的很心烦
    支持(14反对(11回复
  1. 14
    erpsea   说道:
    又学到点东西
    支持(10反对(7回复
  1. 15
    Rhinuxx   说道:
    不装证书购票的飘过
    支持(22反对(20回复
  1. 16
    von   说道:
    1.任何时候,网站或者某些应用要求你安装根证书,都需要提高警惕,因为这代表了今后你的计算机将会无条件信任某些服务器,而你却不知情;
    2.铁道部欠债不是2千亿,而是2.6万亿。
    支持(14反对(12回复
  1. 17
    乌鸦不会飞   说道:
    大概了解了一下CA和SSL的相关东西。。
    支持(14反对(12回复
  1. 18
    chou老周   说道:
    看来使用12306是有风险的,能有好的办法吗?
    hello 于 2014-4-22 8:32:55 回复
    虚拟机操作
    支持(12反对(10回复
  1. 19
    不听主打   说道:
    长姿势了…………
    支持(14反对(13回复
  1. 20
    刘必强_ROBIN   说道:
    “不过我大天朝铁道部(尽管已经倒闭)欠了两千多亿还巍然不动”不是2.6w亿么?
    支持(14反对(13回复
  1. 21
    BuiltToLast0x0n   说道:
    用vpn访问,根本不用装...
    支持(18反对(17回复
  1. 22
    月鹏红星   说道:
    月光博主,不知道是我电脑的问题,还是搜狗浏览器和网站程序的兼容性问题,在输入一段话之后,光标往前退格的时候,反应超级慢,换个浏览器就没出现这个问题。
    iGeneral 于 2013-6-12 11:03:57 回复
    重装浏览器试试!
    支持(13反对(12回复
  1. 23
    12306   说道:
    多少个亿啊 这东西
    支持(19反对(19回复
  1. 24
    miumiuu   说道:
    受教了
    支持(15反对(15回复
  1. 25
    aegeannc   说道:
    自编软件类似的例子太多了,最近我接触到的很多政府部门都在披着信息化的外衣实施利益化,国税用的ABC4000,社保缴费软件,(其实就是强迫广大用户购买“交税权”“缴费权”等等,都已经已到了阻碍用户使用感受的地步。
    强烈呼吁360的周大侠介入税务报税系统设计,从此进入公共服务软件领域,优化公务软件大环境。
    支持(14反对(14回复
  1. 26
    合页   说道:
    文章写的很好,永保弹簧合页
    支持(13反对(13回复
  1. 27
    tonghboy   说道:
    我看了那个沃通那个evssl证书的价格了,那铁路公司一年卖火车票的钱足够买3年的证书了.
    支持(0反对(0回复
  1. 28
    qingwang   说道:
    2017.12.12更新:已经改用digicert的证书
    支持(0反对(0回复
  1. 29
    xueli89   说道:
    但是还是很多小白不知道
    支持(13反对(14回复
  1. 30
    Dat   说道:
    学习了,起码知道它的证书存在风险
    支持(12反对(13回复
  1. 31
    luoli   说道:
    国情决定的,在怎么讲,也改变不了这种状态。
    支持(11反对(12回复
  1. 32
    尾指承诺   说道:
    铁道部有时候买一张火车票就差不多够一年的证书钱了。


    支持(8反对(9回复
  1. 33
    qulebuzailai   说道:
    今天才看到,真是受用了
    支持(5反对(6回复
  1. 34
    xiaoxuxu   说道:
    网易邮箱邮件内容也是http,不靠谱
    猎人雷灵 于 2013-5-8 21:57:01 回复
    是啊,相比之下腾讯的邮箱至少可以设置全程的HTTPS,国内邮箱已经抛弃网易了
    支持(14反对(16回复
  1. 35
    JK文艺小青年   说道:
    刚刚翻了一下电脑里的证书,尼玛,国内的根证书还真多,大多是银行的。怎么办?
    支持(14反对(16回复
  1. 36
    Blossom   说道:
    有两处有错别字:1.从前有个倒霉的的荷兰CA,叫DigiNotar。这CA被黑客攻破,导致这家CA办法给一些用户的证书的私钥失效→“颁发”。2.那么小CA的私钥失窃之后会有什么不就措施呢?→“补救措施”
    支持(12反对(14回复
  1. 37
    牌巴子   说道:
    好长的文章,没什么耐心看那么多技术性的东西,只看到这样一句“这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西”,可是怎么办呢?
    支持(14反对(16回复
  1. 38
    vitoland   说道:
    我可以腹黑EV么?
    支持(12反对(14回复
  1. 39
    muxing   说道:
    那证书没啥名义、估计是报销的一个凭证!估计又是一个上亿的项目!哎!
    支持(16反对(18回复
  1. 40
    cosmos   说道:
    这里有一个链接,也是说的12306证书问题,h-ttp://w-ww.jayxon.c-o-m/12306-certificate/,跟贵网站说的重心明显不一样。如果两个网站说的都是真话,那么贵网站就有误导消费者之嫌。贵网站要不要写一个“为什么在12306买火车票要装根证书?(续)”来澄清一下这个问题?
    techyan 于 2013-5-8 7:01:10 回复
    我是作者,我在原文最下面写上了铁道部在支付方面使用了VeriSign的证书,但是月光博客在投稿的过程中貌似没有看到那里。
    支持(15反对(18回复
  1. 41
    凡士林   说道:
    好文章,已收藏
    支持(11反对(14回复
  1. 42
    高富帅罒   说道:
    12306 订票搞得这么繁琐,说穿了就是为了省下 300 块证书钱咯,能这么干的开发商,其屌丝地摊货的本质业内可是心知肚明的。
    支持(18反对(21回复
  1. 43
    nehnre   说道:
    意思是已经安装过旧证书的用户有安全问题吧,MS现在他们已经申请了合格的证书;欢迎访问我博客niehonglei.info
    支持(8反对(11回复
  1. 44
    Februus   说道:
    好好的一篇文章,被“几乎每个能上网操作系统(甚至包括诺基亚最弱智的S40系统)都有一个。在这里用Mac做示例。”这句话给毁了。
    c 于 2013-5-8 13:54:53 回复
    的确作者是一个装逼档。

    但是文章写的没有问题。
    支持(17反对(21回复
  1. 45
    Afei   说道:
    好文章,涨姿势。铁道部欠款不是2万多亿吗?
    支持(13反对(17回复
  1. 46
    test   说道:
    SRCA是中国铁路内部网络各种通信通用使用的根证书,只不过其他的地方我们普通大众见不到罢了
    yaya 于 2013-5-8 0:22:54 回复
    评论出现各种五毛。本来那个证书如果不是居心叵测会那么搞么?让别的验证机构验证每年才多少钱?反正我也不从首页进那个框架页。根本不用证书。
    c 于 2013-5-8 13:56:12 回复
    仁兄,人家说的是事实,不要乱扣5毛的帽子。

    至于铁道部为什么不愿意用权威机构的,我只能说是当年为了省钱留下的后遗症。

    就这么简单。
    ttyy 于 2013-5-8 14:11:37 回复
    几亿的项目,好意思说为了省证书的钱?
    支持(11反对(16回复
  1. 47
    古城童话   说道:
    为何12306连买CA证书的一点钱都不愿出,非得自己给自己发证书?
    支持(9反对(14回复
  1. 48
    MAGI一只鱼向南   说道:
    坑爹的铁道部啊
    支持(12反对(17回复
  1. 49
    小沙粒0x12E6FDD   说道:
    天朝屁民是用来牺牲的。
    支持(11反对(16回复
  1. 50
    cnm   说道:
    sb 怕被黑不要上12306啊 直接去窗口多好
    支持(12反对(17回复
  1. 51
    深圳陆小K   说道:
    以前就想吐槽这事来着。
    支持(11反对(17回复
  1. 52
    微博的二师兄   说道:
    问题是我装了几次都没有装上
    支持(10反对(16回复
  1. 53
    xx   说道:
    我觉得是故意的,方便PARTY审查。
    支持(11反对(17回复
  1. 54
    james   说道:
    1、数字证书的核心技术是用于信息传递加解密的密码算法;
    2、密码算法属于每个国家的核心机密,不同国家都有自己的密码算法,密电也是一样;
    3、VeriSign是美国的机构,基于美国的密码算法,遵从美国的法律;
    4、SRCA是根据中国《电子签名法》设立的,使用中国密码算法的CA机构,这样的机构全国有30家;
    5、数字证书认证技术没有本质的区别,都是加解密算法;
    6、美国的算法没有安全可言,还要花好多钱;
    7、楼上的汉奸,你收了美国人多少钱???
    来人啊 于 2015-2-4 21:05:16 回复
    不好意思,我要打脸,12306自己的证书用的算法也是RSA,跟versign什么的都是同样的算法,而且这个算法就是美国人做出来的。
    GT 于 2015-2-27 17:02:43 回复
    不好意思,我要打脸,12306自己的证书用的算法也是RSA,跟versign什么的都是同样的算法,而且这个算法就是美国人做出来的。

    ----------------------
    这位人才,照你这个逻辑,你个人一些账号的密码别用阿拉伯数字了,因为这是印度人弄的;也别用拉丁字母了,这是人家罗马人的文字(笑)
    亡灵之猫 于 2016/1/11 15:05:51 回复
    那些拿国家安全说事的人完全就没搞明白SSL是怎么工作的,为什么要有可信CA机构
    1. 你和网站之间采用何种加密通信这是由网站开发和经营者决定的,CA根本不管你用什么算法
    2. 证书只是一个签名,证明自己是谁,并且由一个大多数操作系统都认可的中间人担保你没撒谎,既不能代表加密算法,也不能代表技术可靠性
    3. 作为网页服务程序,浏览器只支持SSL规范的加密,12306使用的加密算法必须符合SSL规范,没有自主研发着一说,采用的都是公开的算法,没有国家机密可言
    4. 你向CA付出的钱不是买算法,而是购买服务,你邀请CA检验你的身份,CA郑重交给你一个公章,你用这个公章盖上的每一分公文都包含CA的郑重承诺:“我证明这个章真的是你盖的,不是其他人”,因为操作系统信任这个CA,所以操作系统也就信任了你
    5. CA也好,你的网站也好,所有的签名、传输都是遵循密码学原理,这些密码学算法都是SSL规范中的公开算法,这些算法虽然大多源于美国,但是已经接受全世界数学家和工程师几十年的挑战,算法的安全性是全球认可的
    6. 重要的事情说三遍:网页上只能遵循SSL规范,铁道部根本没有自主算法!网页上只能遵循SSL规范,铁道部根本没有自主算法!网页上只能遵循SSL规范,铁道部根本没有自主算法!

    最后说危害:
    如果你的计算机上信任了SRCA,那么如果因为管理的疏漏或其他原因造成某个签发网站的私钥泄露、甚至SRCA自己的私钥泄露,那么拿走私钥的人可以给若干钓鱼网站签发各大银行、证券、支付网站的身份证书,而你的计算机只会很傻很天真的信任这些钓鱼网站,认为他们的身份是可靠的,即便SRCA发现问题了无法作出任何补救,操作系统本身的安全机制也无法起到任何作用
    支持(14反对(20回复
  1. 55
    月鹏红星   说道:
    ---正如这件事一样,有些知名CA出了事,微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA,尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA,人还懒得管你呢!那么小CA的私钥失窃之后会有什么不就措施呢?月光博主,这段话中有两个错别字,“不就”应该是“补救”吧?
    支持(12反对(19回复
  1. 56
    奇遇   说道:
    我也遇到这个问题 疑惑呢 这个文章给我解惑 多谢~
    支持(7反对(14回复
  1. 57
    HarryZD   说道:
    诶...大天朝连个证书都买不起
    支持(8反对(16回复

发表留言