為何從12306.cn訂票時瀏覽器總是提醒證書不受信任?

http://www.12306.cn為什麼不修復一下這個問題呢?


不是錢的事,我大天朝鐵老大怎麼可能缺那點。這是姿態問題,堂堂國企,怎能依賴別人的認證!

p.s.這種自己簽一個山寨證書放在網上供人下載並要求人肉信任的做法,根本失去了證書的意義,說簡單點叫掩耳盜鈴。


12306明確要求你人肉信任他的一個證書。


謝邀,看到問題想起一幅漫畫(西喬的九卦)

之所以會出現這個問題,是因為這根本不是一個「問題」,而是故意這麼做的。

為什麼瀏覽器會提示證書不受信任呢?眾所周知,HTTPS 加密是需要證書的,而證書是很簡單就可以製作的,那麼,如果瀏覽器無條件信任所有證書,黑客在監聽網路或者進行中間人攻擊時,就可以通過偽造證書的方式,使 HTTPS 形同虛設,為了保證 HTTPS 的可靠,就有了 CA(證書頒發機構) 的概念,並被廣泛接受。簡單的說,就是由少量的認證機構負責頒發證書,認證機構負責核實對方的可信度,操作系統和瀏覽器內會內置這些證書頒發機構的根證書,如果經過檢查網站使用的證書是可信任的 CA 頒發的,就認為它是可信的,反之就會給出不可信的提示,提醒用戶存在風險。由於黑客很難獲得可信 CA 頒發的證書,所以這套體系保證了 HTTPS 最基本的可靠性。

那麼,12306的問題出現在哪裡呢?我們來看一下12306的證書

可以看到12306的證書並不是由默認可信的 CA 頒發的,而是由一個叫「SRCA(Sinorail Certification Authority

)」的未知CA頒發,於是瀏覽器認為這個證書不可信,於是警告用戶。

SRCA是什麼呢?通過搜索可以得到,是中鐵信息工程集團,也就是說,12306自己給自己簽了一個證書。

為什麼要這麼做呢?真實想法我也無從得知,但是肯定不是錢,一方面,我不認為我大鐵道部門差這點錢,另一方面,每年一二十刀甚至免費的證書也不是沒有,從安全形度考慮我也不認為這會導致很嚴重的安全問題。

最後,我強烈建議大家不要安裝這個根證書,一方面,自己給自己簽證書,這是不按規則出牌的行為,完全失去了HTTPS和證書的意義,你裝了他,說好聽點是掩耳盜鈴多此一舉,說難聽點就是助長不正之風。另外,鑒於CNNIC和某牆的種種舉動,我不認為信任他是一個負責任的行為。

吐槽:Chrome居然不認識https?


噓!

大概是這樣, 我們的瀏覽器中預置了一些 CA 根證書, 這樣當我們在訪問 SSL 加密的網站時, 可以驗證其內容的真實性. 如果一個頁面不經過 SSL 加密, 直接明文傳輸, 那麼中間人 (比如運營商, 還有任何可以在你的網路線路上動手腳的人) 可以開心地獲取並篡改傳輸的內容並不被察覺.

但如果經過 SSL 加密, 要想截取信息, 中間人必須自己和伺服器握手交換信息, 再把信息交換給你, 這時候就有問題了, 因為在你的瀏覽器里沒有安裝中間人的 CA 根證書, 中間人跟你握手的時候就會被你察覺到有問題. 所以要怎樣才能讓你察覺不到問題呢? 嘿嘿, 給你的瀏覽器裝上他們的根證書...

國內貌似是 CNNIC 也想讓自家的 CA 證書住進各大瀏覽器, 但是貌似... 別人不答應... 為什麼不答應... 估計是覺得靠不住吧. 之前好像是印度就爆出了某個證書提供商做了不該做的事情, 然後... 估計就沒有然後了...

所以為毛 12306 一定要讓你裝他們的證書呢... 嗯... 也可能是他們覺得證書費用太高了吧... 嗯應該是這樣, 最便宜的都要幾十塊呢.


我覺得以後藉此發起中間人攻擊,非常方便


我是來歪樓的,手機流量黨慎入,圖多。

合法證書對於SSL加密通信和通信完整性保護的意義就是合格鑰匙之於鎖的關係,你把山寨CA請到你家瀏覽器的受信任CA列表,就相當於你從大馬路上撿把插著萬能鑰匙的鎖回家裝大門上。門上確實有鎖,沒鑰匙確實進不來你家偷窺(機密性保護)和盜竊(完整性保護),但有萬能鑰匙的人呢?呵呵。配圖僅做示例,亮點自尋,不解釋。


自己給自己頒發證書,因此不受廣大瀏覽器的信任。一句話:權力的傲慢。不是錢的問題。這跟華為發行的程序沒有MS認證的數字簽名一個道理。


啊哈哈最近剛研究過這個哦,在某個博客寫了相當詳細的說明。手機打字就長話短說了。

通常這個根證書都是全球幾大權威機構專門頒發這個CA證書,意思就是我們的系統從一開始就默認了這幾大機構頒發的證書,一般https網站需要向這些機構申請分配子證書(要走一堆的程序流程還得花錢買),傳說他們審核申請還是挺嚴格的。

你電腦默認信任那些根證書,他們分配的子證書就連帶著一起信任了。這幾大機構當然需要相當相當強的能力保證不被黑,如果被黑,世上所有個人電腦啊什麼各大電商什麼的都得注意你們的財產資產什麼的了。(事實上幾年前有某家公司被黑,並且這家公司成功倒閉了)

我一直覺得12306搶票之類的很不到位,不能讓大夥一起愉快地買票么,票搶來搶去的最後網站掛掉了是個什麼意思,這種基本問題不能好好解決么。(好吧我只是來吐槽的)。

如果你安裝了12306的證書(這個證書是坑爹的12306自己頒發的),那麼你就好好關注12306吧,哪天它被黑了你也注意點兒,會被連累的,或者提個建議,用完你就把它設置成不信任的證書好了(說歸說,雖然我買票比較少,也懶得這麼設置來設置去,作為懶人還是默默信任一下我們的12306好了)。

也不知道它是為了省那點錢還是可憐的自尊心不願意用外國分配的證書,總之身為中國人,我們都要默默祈禱它不要被黑,默默祈禱12306能安全地存活下來。(我是一隻完全不懂電腦的程序媛......)


他們自己搞了一個數字證書認證中心。

中鐵數字證書認證中心(Sinorail Certification Authority,簡稱「SRCA」)成立於2003年,主要提供電子認證服務、電子認證產品及一體化的電子認證解決方案。SRCA於2010年12月獲得工業和信息化部頒發的電子認證服務許可證資質,遵照《中華人民共和國電子簽名法》的要求和相關管理規定,為用戶提供提供一體化電子認證解決方案,並依託集團優勢,建立起覆蓋全國的電子認證服務網路和較完善的電子認證產品體系。SRCA應用領域覆蓋鐵路信息化領域和路外重點行業,在鐵路信息化領域建立了市場領先優勢。

中鐵信息工程集團


態度問題吧,鐵老大,它用什麼證書你都沒得選擇,因為他是獨立資源,如果有競爭,它馬上回解決自簽名證書不收信任問題。


推薦閱讀:

如何使Chrome能夠雙擊關閉標籤頁?
午安瀏覽器安全嗎?
如何優雅地使用 Firefox?
Windows 7 下面哪款瀏覽器最好用?
為什麼微軟連個瀏覽器都做不好?

TAG:互聯網 | 網頁瀏覽器 | 伺服器 | 12306中國鐵路客戶服務中心 |