為何Chrome會攔截12306的網站提示不安全？

12-28

網址https被劃掉了，我只裝了廣告終結者和AdBlock而已。

既然被邀請了，貼一篇本人的相關文章： http://lilydjwg.is-programmer.com/2015/4/28/why-you-should-not-install-12306-cert.90230.html
標題是：為什麼你不應該安裝12306的證書

https證書不是指定機構頒發。

Chrome不僅不支持12306的https證書，還會經常認為各大銀行門戶網站的安全控制項版本過低，不再支持。

看了贊最多那個回答：你為什麼不能安裝12306的證書，云云。

我忍不住要反對這個答案。

這個答案描述的場景都是假定證書的私鑰被竊取或者濫用，然後描述導致的結果，用這個來置疑12306證書的安全性是錯誤的。

技術上操作系統內置的根證書和12306的根證書沒有區別，它們都是基於成熟的公鑰體系，安全性是一致的。前者的私鑰也可能被濫用或者竊取，這樣的話，怎麼講呢，危害比12306的根證書泄露大很多很多，甚至可以讓人類文明回到石器時代。

我想，如果發生戰爭，掌握私鑰的國家是不會排除用這種方式打擊對方的。

操作系統的根證書都是國外的，用這些簽名，就好像命根子被不知道的人拽著，或許某一天就會扯你的蛋。

________________________________________________________________

原答案：

Chrome會提示不安全，因為Chrome（包括操作系統）不認識12306的證書。

12306的證書是自己頒發給自己的（自簽名），而這個根證書當然不會默認安裝到操作系統中。

至於你登錄12306是否安全？安全！！！

為什麼？

（1）你的瀏覽器跟12306的伺服器的通信還是通過https加密的，不存在中間人攻擊的。

（2）12306網站本身是可信的（笑話，大家過年都靠他回家呢），不是在百度上隨便搜出來的買狗皮膏藥的網站。（當然，域名不要寫錯了哦）

（3）12306證書的CA（頒發機構）是中國鐵道部，一個每年幫幾十億人回家的鐵路大佬難道不權威？

為什麼12306不用國外權威CA來簽發證書呢？難道鐵道部缺那點錢嗎？當然不是。

原因當然不是技術問題，我猜測最大的可能應該是政治因素。

另外，為何一定要用國外的CA，受制於人呢？

等到中國的鐵路鋪滿全球的時候，你看看那些瀏覽器和操作系統會不會搶著安裝鐵道部的CA。

因為12306開發人員沒進行瀏覽器兼容性測試，安全證書也沒配置好

12306的Root CA是自簽發的如果不安裝他們的CA 系統是不會認的所以Chrome會提示小紅叉導入12306 CA後問題可以解決