為什麼你不應該安裝12306的證書
中華人民共和國鐵道部鐵路客戶服務中心在其首頁上說:
為保障您順暢購票,請下載安裝根證書。
真的是這樣嗎?
安裝該根證書意味著什麼?
當然意味著你在12306網站上買票時不會遇到證書錯誤了。但是除此之外呢?
安裝之後,你的計算機系統(或者瀏覽器)會信任該「CA 機構」所簽名的所有證書。根據安裝說明,該證書不僅能簽名用於標識網站的身份的證書,還能簽名應用程序,即n.exe 和 .dll 文件。
這意味著,如果鐵道部沒有按照規範正確管理該根證書對應的私鑰的話,一旦被濫用,或者被攻擊盜用,那麼:
- 攻擊者可以實施中間人攻擊,偽裝成支付寶、網上銀行、微信、網頁郵箱等網站,獲取你的登錄和隱私信息,篡改網頁內容,以你的身份提交轉賬和訂單、與你的親友同事聊天等。
- 攻擊者可以為病毒和木馬簽名。擁有一個受系統信任的簽名,惡意軟體更容易在用戶不知不覺間潛入。
- 這是一個 SHA1 簽名的證書。因為其安全性比較低,各大瀏覽器廠商將逐漸淘汰該類證書。
- 當然還有一些其它的用法,畢竟這個證書的許可權非常大。
而鐵道部能按照規範正確管理該根證書對應的私鑰嗎?很多人連工信部(CNNIC)的根證書都不信任呢。而工信部,即使出現過下級機構違規使用證書以至於nGoogle 和 Mozilla 都不再信任之,至少工信部曾經得到過各操作系統和瀏覽器廠商的信任,不管做沒做到,人家至少知道應該怎麼做。而鐵道部呢?根本不是干這行的,也從未在這方面做過多少努力,連正規的 HTTPS 都不知道用,你覺得如何呢?
那要怎麼用12306呢?
火狐有個功能,叫「添加證書例外」。在遇到不被信任的網站證書的時候,如果你確知你沒有被騙,你可以為該網站添加例外,如圖所示:
添加例外之後,火狐將這個證書和這個網站關聯起來。也就是說,如果12306突然換證書了,你會得到錯誤消息;如果別的網站也使用鐵道部簽名的證書,你也會得到錯誤消息。而這些錯誤消息,絕大部分是在告訴你有人正在進行中間人攻擊。
HTTPS 保證了端到端的數據安全性(私密性、完整性),使得你即使在公共場合上網,或者本地網路有不可信的人時也可以安心上網。請不要隨意破壞這份安全。
出品人:亞洲誠信
推薦閱讀:
※酷站推薦 - roe.ch/SSLsplit - transparent SSL/TLS interception
※TLS 1.2 基於DH是如何交換密鑰?
※TLS完全指南(零)
※如何評價《Why I stopped using StartSSL》的評論?
※SSL For Free : 網頁快速申請Let's Encrypt的SSL證書
TAG:SSL |