為什麼12306購票被chrome視為不安全網站?
如題,如圖:
很久以前就有這個問題了。
在幾個版本號前(沒記錯的話應該是56),chrome加入了一項新功能——顯示「安全」與「不安全」,判斷依據是SSL證書的可靠性。
用chrome選擇信任並打開12306,可以看到提示該站點不安全
讓我們看一下證書:
證書機構叫「Sinorail Certification Authority」(SRCA),查詢後發現機構實際上是「中鐵數字證書認證中心」,和12306是近親關係,不準確地說,12306的證書是自己簽發的。
這種處在國內、和zf掛鉤的機構簽發的證書,換作誰相信也不會信任。
所以chrome選擇不信任,理所應當。
關於12306的證書問題,具體可以參見維基百科: https://zh.wikipedia.org/wiki/%E4%B8%AD%E5%9B%BD%E9%93%81%E8%B7%AF%E5%AE%A2%E6%88%B7%E6%9C%8D%E5%8A%A1%E4%B8%AD%E5%BF%83#.E8.AF.81.E4.B9.A6.E9.97.AE.E9.A2.98
視為不安全的意思,並不是因為網站本身不安全,而是chrome不認可網站的證書而已。
我能說某國政府網站被某軟體標識為兒童不宜么……
還不是鐵老大 肥水不流外人田,數字證書都捨不得外面買,解決被各大瀏覽器認定不安全。
在提示不安全無法訪問的頁面輸入 bad idea 就可以繼續訪問
當然現在已經不存在這個問題了,請參考該問題:如何評價12306網頁端、手機版在2017.12.12的變動?
簡單再解釋一下:
CA機構是具備簽發證書能資質和信任能力,最關鍵的是CA機構在操作系統、瀏覽器中有內置根證書的權力(但也隨時可能被不信任或移除根證書),整個依據SSL通信過程如下:
- 客戶訪問SSL加密認證的網站;
- 瀏覽器接受這個客戶訪問請求到這個網站伺服器,網站伺服器將CA機構簽發過後的證書和證書相關信息發送到瀏覽器客戶端;
- 客戶端瀏覽器如Chrome檢查網站伺服器提供的證書是否是CA機構所簽發的(瀏覽器內置的CA根證書);
- 瀏覽器中生成一對對稱密鑰,並使用公鑰(網站伺服器提供)加密該對稱密鑰,將它和對稱加密後的URL一起發送到網站伺服器;
- 網站伺服器用自己的私鑰解密該密鑰,然後用這把對稱加密後的秘鑰給你請求的URL鏈接解密;
- 網站伺服器再用你給提供的密鑰加密前面的URL請求,這樣客戶再用剛才那個相同的密鑰解密網站伺服器返回來的URL;
而自簽發證書的CA根證書並未在瀏覽器中內置,那麼第3步這個通信就掛了,於是就彈出來下圖,瀏覽器大大的警告:你要信任????
你點高級的話,可以手動信任,或者將12306提供給你的根證書導入到瀏覽器中,這就是一個品牌效應了,雖然 12306不是瀏覽器信任的CA機構,但他在國內權威公信力又是不需要質疑,所以這個可以和用戶構成信任關係。
不過,為了用戶、網站的安全,SSL加密是有必要的,所以就算自簽發,也要這麼干(但截止2017年12月12日,12306已經使用DigiCert/Symantec的證書了)。
因為12306的證書不是ca機構頒發的,是自己做的
推薦閱讀:
※如何評價安卓版chrome新標籤頁下方出現推薦內容的舉措?
※你放棄 Chrome 而選擇 Firefox 的原因是什麼?
※Chrome 這個瀏覽器給過你什麼特別的驚喜?
※你為什麼選擇 Chrome 而不是 Firefox?
※Microsoft Edge 的使用體驗如何?與 Chrome、 Firefox 相比有哪些優缺點?
TAG:GoogleChrome | 網路安全 | 12306中國鐵路客戶服務中心 |