首页 > 资讯 > 关键词 > 火车票最新资讯 > 正文

为什么在12306买火车票要装根证书?

2013-05-08 11:40 · 稿源:techyan的博客

12306主页上有一段很显眼的文字—--“为保障您顺畅购票,请下载安装根证书。”这段文字和12306很多的其他问题一起成为网友诟病12306的话题,但是这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西。

为什么在12306上买火车票要装根证书?想要回答这个问题,那么我们就必须先要提前回答说几个定义:

电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下,交换敏感信息必须要通过这个方式来进行。包括12306在内,淘宝、京东等在交换敏感信息的时候都使用了SSL进行加密。

那么,我们怎么知道网站是否使用了SSL加密呢?最简单的办法就是看看地址栏——如果网址前面写的是“https://”,那么这个页面就是使用SSL加密的。这意味着你访问的页面是安全的并且可以用来交换敏感信息。如果你使用的是Internet Explorer 7或者以上版本浏览器,你应该能在浏览器地址栏的最右边看到一把小锁头。就像下图所示的那样。点开这把小锁头,就能看到关于https的信息。

 

用其他浏览器呢?现在流行的浏览器中,全部都会标示出来该网页是使用了https以防止窃听和用户的个人信息安全的。比如下边的图就是在Firefox中使用https浏览维基百科的画面。

 

但是,谁又能保证https的安全呢?这里就又是一个概念:数字证书认证机构。它的译名很多,不过大致意思对就可以了。英文Certificate Authority,经常被缩写为CA。下文中也使用“CA”来称呼数字证书认证机构。

CA是一个机构——打个比方,这就像是信用卡一样。一个人向银行申请信用卡,就像网站向CA申请证书。CA觉得网站的信用合格,就签发SSL证书;银行觉得申请者的信用合格,就签发信用卡。等等,什么又是“SSL证书”呢?这就是CA签发给网站用以证明网站身份的“信用卡”。有了SSL证书,加密网页才能被信任。当你在访问一个被https加密的网页时,网页会出示一份证书,这份证书有助于用户信任这个网站。没有正规CA签发的证书的网站是不会受到浏览器的信任的——就算你用了SSL来加密也没用。

再看看前面的两张图片。第一章支付宝的截图中,CA就是:VeriSign Class 3 Public Primary Certification Authority - G5

第二章维基百科的截图中,CA是:DigiCert Inc

浏览器又上哪知道CA是正规的呢?那就是根证书库,这是一个操作系统认为可以被信任的CA的名单。几乎每个能上网操作系统(甚至包括诺基亚最弱智的S40系统)都有一个。在这里用Mac做示例。Mac的根证书库在:

Finder-应用程序-其他(提示:OS X Lion或者以下操作系统叫“实用工具”)-钥匙串访问

然后在最左边找“系统根证书”,点进去便是。看到的应该如下图所示。

 

可以试着找一下VeriSign Class 3 Public Primary Certification Authority - G5—--肯定能找到!每次浏览器浏览https网页时,都会把网站出示的证书在这个库里面找一圈,能找到就OK,找不到的话,就证明你这个CA是不可靠的!

SSL加密的目的除了保证用户信息在传输过程中的安全外,还保障了服务器的身份。有些简单的SSL证书仅仅需要用该网站域名的邮箱向CA发封邮件就能签发了——不过如果是一个组织、团体、基金会或者盈利性机构(尤其是类似于支付宝或者PayPal的网络支付服务),那么SSL证书的签发就会变得十分繁琐。网站需要提供大量的文件以证明该网站是可靠的。如果能够证明该网站是可靠的,CA才会给签发证书。

还有一种证书被称作EV SSL证书(Extended Validation SSL),这种证书遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书。这种证书显示起来,就是俗称的绿色地址栏证书。在IE 7和以上IE浏览器便会出现绿色地址栏,并且滚动展示该网站的信息和CA信息。如下图所示。

 

EV SSL的申请手续更复杂,申请费用也更多,但是可以换来更多用户的信任。左图是Firefox下显示EV SSL证书的样子。这个证书证明了这个网站的经营者为Wikimedia Foundation, Inc.,并且位置位于San Francisco California, US

据一个叫做VeriSign的CA的统计,使用EV SSL能大幅提升用户对于网站的信任。

 

总而言之,SSL证书的目的有两个:

确保网站和用户之间的数据是加密并且可靠的 确保网站所宣称身份的真实可靠

如果访问12306.cn会出现什么情况呢?12306的确使用了SSL来加密以保障网页的安全,而访问直接访问12306就算不安装根证书也不会出现任何问题。以Chrome为例,访问主页不会出现任何问题,但是若要访问购票页面就会无法访问,如下图所示。

 

12306会让我们访问一个叫https://dynamic.12306.cn/otsweb的网址。如果我们直接用Chrome访问这个网址呢?华丽丽的一幕出现了:

 

使用IE8浏览这个页面会出现这样:

 

回到Chrome,如果我们点击“仍然继续”,就会正常的看到购票页面没有任何阻力。IE8也是一样,不过IE8的地址栏整个都会变成红色的。

如果我们点击旁边的小锁头来查看关于这个证书的信息呢?会出现下图。

 

再点击“证书信息”,会看到这个12306的证书是一个叫做SRCA的CA签发的。

 

但是在“钥匙串访问”里面根本没有一个叫做SRCA的CA。

如果安装上了首页给出的“根证书”,(依然以Mac为例)钥匙串访问里面就会有一个叫做“SRCA”的CA!并且本来这个证书是不受信任的,安装之后就会被设置为“此证书已被标记为受此账户信任”。

 

这样的话,浏览器和操作系统就会信任这个证书,便不会给予CA信息不对的提示了。

“SRCA”又是何许人也?在上图中,可以看到SRCA的细节部分,“组织”填写的是Sinorail Certification Authority

这也就不难分析了,“Sinorial”中的“S”和“R”,“Certification Authority”的“S”和“A”,就拼出来了“SRCA”。

在搜索引擎中搜索Sinorail Certification Authority中的Sinorail,就会找到这样一个网站。叫做“中铁信息工程集团”。网址就是http://www.sinorail.com/。

听名字就知道这网站跟12306肯定是亲戚关系。换种话说,就是自己给自己发证书。你说这证书能可信吗?

正规CA的证书可不是白给的。要不然CA靠什么吃饭?一个SSL证书从每年三百块RMB到一万五不等。据我所知,最贵的证书是VeriSign签发的,一万五的那个就是他。而便宜的三百块证书——只要不是VeriSign,其他CA签出来的最便宜的证书差不多都这个价。比较便宜的代表是Go Daddy、Comodo等。为什么12306要使用自己给自己的证书呢?貌似唯一的合理解释就是省钱。能省大概三百到一万五不等。

铁道部有时候买一张火车票就差不多够一年的证书钱了。

那么又为什么说铁道部用自己的证书不安全呢?有些人在12306上买票时会看到“该站点安全证书的吊销信息不可用,是否继续”的提示语,这又是什么意思呢?

从前有个倒霉的的荷兰CA,叫DigiNotar。这CA被黑客攻破,导致这家CA办法给一些用户的证书的私钥失效(私钥是在SSL加密环节中非常重要的东西),这就使得以这家CA的名义伪造证书成了可能。黑客可以通过这家公司的名义伪造证书给一些非法网站,客户一看这是加密过的还是大型CA签出来的证书便很容易信任。因为DigiNotar名气很大,并且很多大公司都使用它的证书,微软等操作系统厂商在这事情发生之后开始忙不迭的发布更新补丁来宣布DigiNotar的证书失效。

微软在 KB2607712 补丁中宣布了DigiNotar的根证书无效。原文如下:

Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书,DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户(包括 Internet Explorer 用户)执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞,但是此问题会影响 Microsoft Windows 的所有受支持版本。

这家倒霉公司最后因为这件事华丽丽的破产了。

正如这件事一样,有些知名CA出了事,微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA,尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA,人还懒得管你呢!那么小CA的私钥失窃之后会有什么不就措施呢?那就是证书吊销列表,英文全称Certificate revocation list,简称CRL。下文也称呼它为CRL。

CRL是干什么的呢?比如你买的证书被盗了,只要将信息报告给CA,那么CA就会把你这个证书的信息添加到这个CA的CRL中,每次浏览器浏览加密网页时,都会检索CRL信息——如果没有的话,就会提示该站点安全证书的吊销信息不可用,是否继续。想必读到这里大家也都知道了,12306的证书没有CRL信息。这也就意味着,12306所使用的证书一旦失窃,系统厂商不会管这个,甚至连最后一根救命稻草CRL都没有。

简而言之,如果证书出了事,两种解决办法:

系统厂商发补丁宣布该证书失效 通过CRL宣布证书失效

不过可惜的是12306出了事,这两招哪一个都不顶用。

如果证书失窃,会有什么后果?最可能的后果就是像前面的倒霉蛋一样倒闭。不过我大天朝铁道部(尽管已经倒闭)欠了两千多亿还巍然不动,这个可能便没有了。前面提到的两种解决方案一个也用不了,这就意味着遭殃的一定是用户。证书失窃,任何人都能用此来伪造虚假证书。尽管SRCA颁发的证书默认是不受到系统信任的,但是中国这么多去过12306网站买过火车票的人——假设所有人都安装了这个根证书使的系统对此证书信任——一个绿色地址栏都能提升用户这么大的信任,违法网站只要获得了SRCA颁发的证书,岂不就能轻易骗得用户的信任?

如果你是Mac用户,并且访问 https://www.12306.cn 没有任何障碍,那么可以参考这个视频中的步骤来将SRCA的证书设为不信任。如果要购票,反其道而行之即可。

从证书的角度看,中国很多大佬都做的非常不到位。比如我手里的建行网银,在安装U盾的时候必须安装一个网银根证书。SSL证书方面中国也做的很不到位。比如京东只有在用户登陆的时候才用了SSL来加密,而京东甚至在下订单的时候依然是明文传输。新浪微博在更改个人敏感信息时仍然使用明文传输,而twitter在早期甚至连微博内容都用https。如果使用不加密的公共Wi-Fi的话,那么在同一个Wi-Fi热点下有一个黑客,黑客便可以非常轻松的窃取到你的个人信息。

P.S.:现在12306在付款的过程中使用了VeriSign签发的合格的证书,但是这样并不代表着上面所说的可能造成的严重影响不会发生。

原文地址:http://techyan.weebly.com/2/post/2013/05/12306.html

  • 相关推荐
  • 大家在看
  • 12306新规:今天起乘火车离京将查验7日内核酸检测阴性证明

    从6月16日起,北京疫情防控响应级别已调整至二级,为防止疫情扩散蔓延,北京市明确,市民离京须持7日内核酸检测阴性证明。据最新报道称,12306给出的最新公告称,自6月19日零时起,从北京地区

  • 支付宝率先「结缘」12306,数字出行的新战争

    ​与 12306 在数字支付领域合作 7 年后,一项影响支付宝 12 亿用户出行的重大合作来了。7 月 1 日,中国铁路 12306 官方支付宝小程序正式上线,部分用户在最新升级版的支付宝首页“四大金刚”之一“出行”中可以找到 12306 的“身影”。据悉,相比携程、微信等第三方渠道而言,这次上线的直营渠道,是 12306 触网 10 多年来,除官网和App外,设置的首个站外自营点,也就是说,用户可以在支付宝上购高铁票和火车票了。

  • 12306正式入驻支付宝:没有中间商 购票更快更安全

    7月1日消息,12306官方支付宝小程序已正式上线。这是12306继官网及App外的首个站外官方服务渠道。在最新版支付宝首页顶栏的“出行”页面即可买火车票或退改签,或上支付宝搜“12

  • 进出北京地区列车免费退票 12306网站退票方法

    据中国国家铁路集团有限公司消息,为配合北京市做好应急响应级别由三级提升到二级的疫情防控工作,铁路部门决定将进出北京地区列车实施免费退票政策。铁路部门决定:自 2020 年 6 月 17 日 0 时起,旅客在车站、 12306 网站等各渠道,办理 2020 年 6 月 16 日 24 时前已购的进出北京地区各次列车有效车票退票时,均不收取退票手续费,购买铁路乘意险的一同办理。

  • 12306官方小程序在支付宝上线 通过支付宝实名认证即可登录

    今日, 12306 官方支付宝小程序已正式上线。据了解,这是 12306 继官网及App外的首个站外官方服务渠道。用户在最新版支付宝首页顶栏的“出行”页面即可买火车票或退改签,或上支付宝搜“12306”一键购票。 12306 官方支付宝小程序通过支付宝实名认证即可登录。

  • 12306官方支付宝小程序上线,支持购票及改退等服务

    7月1日,12306支付宝小程序正式上线,用户通过支付宝“出行”页,就能直连12306系统进行购票、退改签。除了方便,在购票速度和安全性方面,12306支付宝小程序也比其他购票渠道更胜一筹。

  • 这些12306实用功能很多人不知道!中国铁路官方科普

    用了这么久的铁路12306 APP,这些贴心实用的小功能你都知道吗?今天,中国铁路官方科普了几个12306 APP很多人不知道的实用功能,一起来了解一下。全面了解购车信息 快速检票进站上车&ldqu

  • 今日起 告别纸质火车票!一文看懂如何买票、乘车、报销

    6月20日,电子客票在全国普速铁路推广实施,覆盖1300多个普速铁路车站。据悉,此次推广实施后,全国铁路有2400多个车站实行电子客票,将覆盖95%以上的铁路出行人群。电子客票发展历程:201

  • 铁路部门:进出北京火车票退票免收手续费

    据中国国家铁路集团有限公司官方消息,为配合北京市做好应急响应级别由三级提升到二级的疫情防控工作,铁路部门决定:自2020年6月17日0时起,旅客在车站、12306网站等各渠道,办理2020年6月16

  • 诺基亚在法国裁员1233人 占比超30%

    北京时间 6 月 22 日消息,两名法国工会官员表示,诺基亚公司计划在法国裁员 1233 人,占当地员工总量的三分之一。诺基亚在周一早晨举行劳资协议会前向法国工会通知了裁员计划。诺基亚法国公司不予置评。

  • 彻底告别纸质火车票!全国普速铁路6月20日上线电子客票

    国铁集团刚刚官方宣布,6月20日,电子客票将在全国普速铁路推广实施,覆盖京广、京沪、京九、陇海等普速铁路路网干线和运输繁忙线路,涵盖1300多个普速铁路车站,电子客票“一证通行&rdquo

  • 网易:港股发行价确定为每股123港元

    据网易发布公告显示,国际发售与香港公开发售的最终发售价均已确定为每股股份123. 00 港元。股票将于 2020 年 6 月 11 日在香港联交所主板以股份代号 9999 开始交易。

  • 铁路部门:办理6月16日24时前已购进出京火车票退票免收手续费

    今日,中国国家铁路集团有限公司表示,为配合北京市做好应急响应级别由三级提升到二级的疫情防控工作,铁路部门决定:自 2020 年 6 月 17 日 0 时起,旅客在车站、 12306 网站等各渠道,办理 2020 年 6 月 16 日 24 时前已购的进出北京地区各次列车有效车票退票时,均不收取退票手续费,购买铁路乘意险的一同办理。

  • 外媒:网易香港上市发行价定为每股123港元

    【TechWeb】6月8日消息,据外媒报道,网易将香港二次上市的发行价定为每股123港元。网易发布的招股书显示,网易将在香港公开发行1.7148亿股新普通股,以此计算,网易将通过此次IPO募资210.9亿港元。根据招股书,网易此次上市募资用途将集中用于全球化战略及机遇、丰富提升创新内容和技术。具体包括:全球化战略及机遇,约占45%;推动网易对创新的不断追求,约占45%;一般企业用途,约占10%。网易将于6月11日上午9点开始在香港联交

  • “直播123”自媒体权重排名,做自媒体怎么从零开始?

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。直播123是当前百家号中的普通号,目前账号百家号权重为1,综合排名位列1006058名,综合分类排名位列45624名,领先了9.9%的百家号。 直播123百家号概况 直播123的简介为专注直播行业最新资讯动态,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过0篇的游戏内容,最近该作者创作的文章?

  • 天猫:618期间淘宝直播的开播场次同比上涨123%

    【TechWeb】6月19日消息,根据今天发布的《618淘宝直播创新报告》显示,天猫618期间,淘宝直播的开播场次同比上涨123%,开直播的商家数量同比增长160%。在15个成交破1亿元的淘宝直播间中,9个都是品牌、商家自己的直播间。同时,今年的明星直播,在天猫618给品牌、商家带来的增量明显。300个来到淘宝直播间的明星,带动粉丝增长超过670%,观看时长增长343%。业内数据认为,整个618期间,淘宝直播让大量中小商家的营销成本至少下降

  • 为削减成本 诺基亚计划在法国子公司裁员1233人

    【TechWeb】6月23日消息,据国外媒体报道,诺基亚公司周一表示,为削减成本,计划在法国子公司阿尔卡特-朗讯(Alcatel-Lucent)裁员1233人。诺基亚诺基亚今年4月曾表示,计划在年底前削减5亿欧元(约合5.6亿美元)成本,其中3.5亿欧元来自运营费用,1.5亿欧元来自销售开支。诺基亚表示,其位于法国的巴黎-萨克雷和拉尼永的研发和中心职能部门将裁员1233人。目前,诺基亚正与爱立信和华为展开激烈竞争,争夺5G市场份额,激烈的竞争给

  • 研究发现:每142个密码中就有一个是“123456”

    上个月,在塞浦路斯一所大学学习的土耳其学生Hakçıl下载并分析了超过 10 亿份凭证,并发现其中有 700 万个使用的是“123456”字符串。这意味着在Hak分析的样本中,每 142 个密码中就有一个是“123456”。

  • 诺基亚在法国裁员1233人,占当地员工总数三分之一

    6月22日据两名法国工会官员表示,芬兰通讯公司诺基亚计划对其法国子公司阿尔卡特·朗讯裁员。本次裁员涉及员工数量达到1233人,占当地员工总量的三分之一。诺基亚在周一早晨举行劳资协议会前向法国工会通知了裁员计划,诺基亚法国公司不予置评。

  • 诺基亚对法国子公司阿朗裁员1233人 占当地员工三分之一

    两名法国工会官员表示,诺基亚公司计划对其法国子公司阿尔卡特-朗讯裁员1233人,相当于当地员工总量的三分之一。诺基亚在周一早晨举行劳资协议会前向法国工会通知了裁员计划。诺基亚法国公司不予置评。(作者/箫雨)

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议