12306的证书问题

12306在访问的时候会提示证书错误,我也一直很奇怪为什么12306为什么要使用自己颁发的证书,而不使用那些受信任机构颁发的证书,一度还单纯的以为是为了节省费用,后来慢慢了解到,并不是这么回事,这是一个很大的一步棋。 堂堂一个中铁的网站,第一次访问的时候会出现这个提示: 123061   第一次看的时候还以为是假冒的网站,仔细一看还真是如假包换的官方网站,只是出现这个错误当时让我很疑惑,为什么会出现这个错误,查看了一下证书: 123063 这个证书的颁发机构是一个名为SRCA的机构颁发的,SRCA全称为Sinorail Certification Authority,中文名叫中铁数字证书认证中心,当然,这个机构是不受信任的机构,所以才会被浏览器识别为不受信任的证书。当时我曾天真的以为是为了省钱(其实证书申请也就每年几百至上万,12306不缺那点钱),也没有在意,当时听朋友说过,他觉得是!@#¥%&的目的,当时我还不信,现在真的完全相信了。前两天看到一篇文章,我才恍然大悟。下面的摘自那篇博文: 12306就在首页显著位置标明:为保障您顺畅购票,请下载安装根证书。一般人如果看到这个肯定会按照要求下载安装的。下载后解压里面有个“SRCA根证书安装说明手册.doc”,这个doc格式我就先不吐槽了,还是先说说内容吧。 这个文档一开头就有这么一段话:
尊敬的用户: 您现在安装的是中铁数字证书认证中心(中铁CA,SRCA)的根证书,完成这个操作可以使您的购票体验更为顺畅,同时获得一个更安全的网络购票环境。中铁CA是由工业和信息化部审批通过的合法电子认证服务机构,该产品及相关操作不会对您的计算机构成危害,请您放心使用。
安装了你的证书会使我的网络购票更顺畅更安全?我怎么不知道证书还有这种神奇的能力?是不是Windows优化大师、360之类的软件都应该集成一个安装SRCA的证书的功能啊? 再看后面,“该产品及相关操作不会对您的计算机构成危害,请您放心使用。”怎么感觉好像是此地无银三百两呢? 玩笑话就说到这里吧,下面来说说安装了这个证书到底会有什么危害。 下面由于涉及到一些密码学的知识,限于篇幅和本人的表达能力,可能解释得不是很清楚,如果有什么不明白的地方建议学习一下这篇文章,图文并茂,解释得比较清晰。 如果你按照这个文档的步骤安装了SRCA的根证书的话,那么以后所有SRCA颁发的证书在你的电脑上都会被认为是安全的。这有什么危害呢?首先SRCA是一个体制内的部门,所以他完全有可能会被有关部门控制。如果有关部门利用SRCA的私钥伪造了一个Gmail的证书,然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了SRCA的根证书,你就会认为这个证书是安全的,也就是说你就会以为你收到的内容是Gmail服务器发送的。这样有关部门就在你和Gmail服务器之间充当了一个中间人的角色。这样你和Gmail服务器之间的所有加密通信就都神不知鬼不觉得被有关部门监听了,他们就可以得到你的邮件的内容甚至还有可能得到Gmail的密码。这就是著名的中间人攻击(MITM)。 这里只是以Gmail为例,因为有关部门多次试图获得一些异见人士的Gmail邮件内容,就不详细说了。 说完了安装证书的危害,那么为什么不使用VeriSign这个受信任的机构颁发的证书呢? 有些人就开始出来为铁道部辩护了,说铁道部不愿意花钱买证书,或者技术人员提出了要购买证书的要求但是领导不懂这些所以不同意等等。 我最开始也觉得这个是有可能的,毕竟这是在天朝。但是后来我发现https://epay.12306.cn/这个完成订票后用来支付的二级域名就是用的VeriSign颁发的证书。那为什么登陆账号以及订票不使用这个VeriSign的证书呢? [caption id="attachment_372" align="aligncenter" width="300"]这个域名的证书是没有任何问题的 这个域名的证书是没有任何问题的[/caption]
由于我实在无法找出合理的解释,所以我只好认为是这样的:铁道部由于某个特殊的原因,希望大家在自己的电脑上面安装SRCA的根证书,但是他自己也知道使用自签名的证书是有危险的,不过登陆和订票部分只是涉及到用户的隐私问题而已,即使有安全问题也无所谓的,天朝的p民本来就没有什么隐私的。但是支付部分涉及到钱,如果出了事儿就比较麻烦,所以支付部分还是使用了VeriSign的证书。 最后放出那个博主和一个五毛的对话:
1、数字证书的核心技术是用于信息传递加解密的密码算法; 2、密码算法属于每个国家的核心机密,不同国家都有自己的密码算法,密电也是一样; 3、VeriSign是美国的机构,基于美国的密码算法,遵从美国的法律; 4、SRCA是根据中国《电子签名法》设立的,使用中国密码算法的中国自主CA机构,这样的机构全国有30家; 5、数字证书认证技术没有本质的区别,都是加解密算法; 6、为什么VeriSign的证书在WINDOW系统不会有提示,因为WINDOW系统也是美国人开发的,在系统里预置了VeriSign证书,如果有朝一日中国的操作系统能够占领市场,也会这么干的; 7、美国的算法对中国人而言没有安全可言,还要花好多钱,朝鲜的网络一下子就瘫了,就是例子; 8、楼上的汉奸,你收了美国人多少钱???
  • 1、对,证书的核心技术就是RSA算法。 2、RSA算法不是什么机密,代码都是开源的,网上随便一抓一大把,所有国家都是基于RSA的,你幻想中的自己的算法并不存在。 3、VeriSign是国际权威的数字证书颁发认证机构之一。 4、很可惜SRCA的数字证书也是用的美国的RSA算法,而且SRCA是不被国际认可的机构,不具有权威性。 5、对。 6、那你能解释一下Windows系统里面为什么还内置了那么多不是美国的机构的证书么?甚至连中国的CNNIC的证书都有。中国的操作系统占领市场?最多也就靠国家垄断,强制占领一下国内市场吧。 7、说过了所有国家的算法都是RSA,在量子计算机能被用于破解RSA之前,只要密钥位数足够,是不可能被破解的。朝鲜的网络和数字证书没有任何关系,是朝鲜的网络基础设施太差,随便哪个黑客组织都可以DDoS掉朝鲜整个网络。 8、请问这位五毛,你发这条评论只收了五毛钱吗?

    呵呵

    本章大部分转载自https://www.jayxon.com/12306-certificate/(该博主的博客已被墙)