為什麼你不應該安裝12306的證書

中華人民共和國鐵道部鐵路客戶服務中心在其首頁上說：

為保障您順暢購票，請下載安裝根證書。

真的是這樣嗎？

安裝該根證書意味著什麼？

當然意味著你在12306網站上買票時不會遇到證書錯誤了。但是除此之外呢？

安裝之後，你的計算機系統（或者瀏覽器）會信任該「CA 機構」所簽名的所有證書。根據安裝說明，該證書不僅能簽名用於標識網站的身份的證書，還能簽名應用程序，即n.exe 和 .dll 文件。

這意味著，如果鐵道部沒有按照規範正確管理該根證書對應的私鑰的話，一旦被濫用，或者被攻擊盜用，那麼：

1. 攻擊者可以實施中間人攻擊，偽裝成支付寶、網上銀行、微信、網頁郵箱等網站，獲取你的登錄和隱私信息，篡改網頁內容，以你的身份提交轉賬和訂單、與你的親友同事聊天等。
2. 攻擊者可以為病毒和木馬簽名。擁有一個受系統信任的簽名，惡意軟體更容易在用戶不知不覺間潛入。
3. 這是一個 SHA1 簽名的證書。因為其安全性比較低，各大瀏覽器廠商將逐漸淘汰該類證書。
4. 當然還有一些其它的用法，畢竟這個證書的許可權非常大。

而鐵道部能按照規範正確管理該根證書對應的私鑰嗎？很多人連工信部（CNNIC）的根證書都不信任呢。而工信部，即使出現過下級機構違規使用證書以至於nGoogle 和 Mozilla 都不再信任之，至少工信部曾經得到過各操作系統和瀏覽器廠商的信任，不管做沒做到，人家至少知道應該怎麼做。而鐵道部呢？根本不是干這行的，也從未在這方面做過多少努力，連正規的 HTTPS 都不知道用，你覺得如何呢？

那要怎麼用12306呢？

火狐有個功能，叫「添加證書例外」。在遇到不被信任的網站證書的時候，如果你確知你沒有被騙，你可以為該網站添加例外，如圖所示：

添加例外之後，火狐將這個證書和這個網站關聯起來。也就是說，如果12306突然換證書了，你會得到錯誤消息；如果別的網站也使用鐵道部簽名的證書，你也會得到錯誤消息。而這些錯誤消息，絕大部分是在告訴你有人正在進行中間人攻擊。

HTTPS 保證了端到端的數據安全性（私密性、完整性），使得你即使在公共場合上網，或者本地網路有不可信的人時也可以安心上網。請不要隨意破壞這份安全。

出品人：亞洲誠信

推薦閱讀：