12306的证书问题
注:这是之前博客的文章恢复的第一篇,我还会陆续恢复一部分有用的文章。
这个网站最近相当的火爆,Alexa排名瞬间变成了全球几百名左右,不过这个网站有多烂也是有目共睹的,很多人说是人太多造成的,当然那是一个很重要的原因,但是还有很多问题是与人多少没有关系的。比如对非IE浏览器的兼容性问题、无处不在的验证码(登录要验证码,查询余票要验证码,提交订单还要验证码)、购票成功后那红色并且闪烁着的“牢记”两个大字让人感觉好像被骗了、注册时需要填写的信息过多(什么语音查询密码有必要非得填么?)、语音查询密码是明文保存的(在网页源代码就能看到)等等,我这里来谈一谈证书的问题。
大家都知道https的网页是加密的,是需要证书的,网购火车票的网址是http://www.12306.cn/mormhweb/kyfw/,这个是http的普通网页,没有加密,是明文传输的,不需要证书。但是他里面有个iframe,也就是嵌套了另一个网页,地址是https://dynamic.12306.cn/otsweb/,这里就是https的了。
但是如果使用Chrome、Firefox或者IE8、9等浏览器都会显示这个网站的证书有安全问题。因为dynamic.12306.cn使用的是SRCA颁发的证书,这个证书在我们的计算机中是默认不被信任的,也就是不安全的。
Chrome:
IE9:
什么是SRCA?SRCA就是Sinorail Certification Authority,中文名叫中铁数字证书认证中心,简称中铁CA。这是个铁道部自己搞的机构,相当于是自己给自己颁发证书,当然不会被信任。更多信息请见这个机构的网站。
于是,12306就在首页显著位置标明:为保障您顺畅购票,请下载安装根证书。一般人如果看到这个肯定会按照要求下载安装的。下载后解压里面有个“SRCA根证书安装说明手册.doc”,这个doc格式我就先不吐槽了,还是先说说内容吧。
这个文档一开头就有这么一段话:
尊敬的用户:
您现在安装的是中铁数字证书认证中心(中铁CA,SRCA)的根证书,完成这个操作可以使您的购票体验更为顺畅,同时获得一个更安全的网络购票环境。中铁CA是由工业和信息化部审批通过的合法电子认证服务机构,该产品及相关操作不会对您的计算机构成危害,请您放心使用。
安装了你的证书会使我的网络购票更顺畅更安全?我怎么不知道证书还有这种神奇的能力?是不是Windows优化大师、360之类的软件都应该集成一个安装SRCA的证书的功能啊?
再看后面,“该产品及相关操作不会对您的计算机构成危害,请您放心使用。”怎么感觉好像是此地无银三百两呢?
玩笑话就说到这里吧,下面来说说安装了这个证书到底会有什么危害。
下面由于涉及到一些密码学的知识,限于篇幅和本人的表达能力,可能解释得不是很清楚,如果有什么不明白的地方建议学习一下这篇文章,图文并茂,解释得比较清晰。
如果你按照这个文档的步骤安装了SRCA的根证书的话,那么以后所有SRCA颁发的证书在你的电脑上都会被认为是安全的。这有什么危害呢?首先SRCA是一个体制内的部门,所以他完全有可能会被有关部门控制。如果有关部门利用SRCA的私钥伪造了一个Gmail的证书,然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了SRCA的根证书,你就会认为这个证书是安全的,也就是说你就会以为你收到的内容是Gmail服务器发送的。这样有关部门就在你和Gmail服务器之间充当了一个中间人的角色。这样你和Gmail服务器之间的所有加密通信就都神不知鬼不觉得被有关部门监听了,他们就可以得到你的邮件的内容甚至还有可能得到Gmail的密码。这就是著名的中间人攻击(MITM)。
这里只是以Gmail为例,因为有关部门多次试图获得一些异见人士的Gmail邮件内容,就不详细说了。
说完了安装证书的危害,那么为什么不使用VeriSign这个受信任的机构颁发的证书呢?
有些人就开始出来为铁道部辩护了,说铁道部不愿意花钱买证书,或者技术人员提出了要购买证书的要求但是领导不懂这些所以不同意等等。
我最开始也觉得这个是有可能的,毕竟这是在天朝。但是后来我发现https://epay.12306.cn/这个完成订票后用来支付的二级域名就是用的VeriSign颁发的证书。那为什么登陆账号以及订票不使用这个VeriSign的证书呢?
由于我实在无法找出合理的解释,所以我只好认为是这样的:铁道部由于某个特殊的原因,希望大家在自己的电脑上面安装SRCA的根证书,但是他自己也知道使用自签名的证书是有危险的,不过登陆和订票部分只是涉及到用户的隐私问题而已,即使有安全问题也无所谓的,天朝的p民本来就没有什么隐私的。但是支付部分涉及到钱,如果出了事儿就比较麻烦,所以支付部分还是使用了VeriSign的证书。
支持J大 不要着急 慢慢来 我们等着
支持J大,我会一直关注你的消息
好吧,这个,后怕……
一如既往的支持J大
安装了这个证书怎么卸载啊
删除文件就好了
没弄过证书,win7下在哪个目录啊
Win+R然后certmgr.msc
博主,我的Google阅读器中保存有您网站的一些数据,如果有需要可以联系我,帮您提供数据。
s1.alyzq.com/alhost/QQ20121023195443.png
希望能帮到您
我这里也有的,谢谢
火狐当初我好一顿折腾才成功的来着
老大你在用360的急速?不怕360的后门么。。。
名字取得好啊
表示铁道部无比蛋疼啊,https://epay.12306.cn/ 二级域名搞了证书,而不是直接搞https://*.12306.cn/,最后还让安装证书,不怀疑都不行了。
清理Windows的证书(适用IE、Chrome、Safari)
对于使用Windows下的IE或Chrome或Safari浏览器,则需要执行如下步骤:
1、运行Windows的证书管理器(到命令行执行certmgr.msc)。
2、选中“受信任的根证书颁发机构”=>“证书”。
3、查看右边的证书列表。如果里面已经有CNNIC的证书,直接跳到第7步。
4,先翻墙到“这个页面”下载现成的CNNIC证书(要解压缩出来)。
5、鼠标在“受信任的根证书颁发机构”=>“证书”上点右键。在右键菜单中点“所有任务”=>“导入”。
6、出现一个导入向导,根据先导一步步的提示,把上述CNNIC证书导入到证书列表中。
7、分别选中2个CNNIC证书及1个Entrust证书,点右键。在右键菜单中点“属性”。
8、在跳出的属性对话框中,选中“停用这个证书的所有目的”,然后确定。
9、最后,为了保险起见,再把这三个证书,导入到“不信任的证书”中(方法和上述类似)。
注:上述操作仅对当前用户生效。如果你的Windows系统中有多个常用的用户帐号,要对每一个用户进行上述设置。
一般p民不会留意这个问题,脑子很。。。
我记得以前可以在linux+chrome上登陆的,现在为什么登陆不了,现在不被信任了?怎么才能够登陆呢?还有就是问下,用客户端收发邮件和那个证书就没有关系了吗?
这个确实有道理啊
一直没有安装过。感谢分析
目前已经有一个CNNIC ROOT(我是取消信任了),据说是怎么社会工程学搞到的,等什么时候发现google.com变CNNIC发布的证书的时候我就知道我家要收快递了@_@
坚决仅为特定网站添加例外,永不导入莫名其妙的证书!我本地的 goagent 证书我也是不导入的。自己为调试等原因而生成的根证书也是不导入的。
安装 https://addons.mozilla.org/zh-CN/firefox/addon/certificate-patrol/ Certificate Patrol,关注每一丝证书变化!
又看到你了。。嘿嘿
goagent可以使用自己生成的证书,默认的只是为了大家方便
那怎么删除呢?、
这个取消信任就可以了嘛,以后它想冒充就会弹出是不可信任的证书警告,这不就结了?
不过可能对我这样从事这个行业的人来说很简单,对于一般用户可能就不会这么注意了
只是看看,不作评论
深感可怕
关注一下
确实如此,,,
有的时候,制度决定着人怎么去做事情?其实我觉得很多东西都应该完全透明化才行。
额…好吧
ok
博主 可以匿名转载你的这篇博文吗?
转载请注明出处,谢谢
OK THANKS~
你评分析了这么长一段,你为什么不写出解决放呢。
解决方法
方法就是不要装这个证书,或者买完票立刻删掉
原来如此,背后一阵凉意。赶快把证书删了去,宁愿不在家买票,也不敢用这样的证书啊……省的被请去喝茶……
之所以https://epay.12306.cn/要用VeriSign的证书是因为需要和其他支付平台对接,比如银行的通道。
人家才不认什么SRCA
这才是正解~
他的自签名证书在Linux安装有问题,无语呀!
我猜epay.12306.cn有verisign的认证是因为交易是从这里转发给银行的,银行需要确认12306的身份,但银行并不信任srca自签署自己的证书,他们只信任由真正ROOT CA签署的证书,例如verisign。讽刺的是,很多银行自己的网银系统也使用自签署证书。
只能,呵呵了!还好我没有装。每次都是开IE进去的。
楼主说的真不错 注明出处转载
刚刚本来要导入的,突然感觉不太对劲,来谷歌一下看到这篇文章,很有收获,谢谢!
装完了才看到这篇文章。。
立马给删了。。。。。
我装了怎么删除- -求教
我用chrome订票时也提示无法连接,然后直接把网址粘贴到地址栏就可以进去了。
总感觉那个证书哪里不对,可是我又有什么办法,天朝花了几个亿的网站而且一票难求还。。打土豪,分土地。。。
银行的支付是需要使用https的
至少说明银行和中铁不是相互信任的
哎。。用Chrome就没有打开过。。不过我大Linux无视此证书
“自己给自己颁发证书,当然不会被信任”不仅给人误解,而且实际上根本就是错误的,几乎任何一个根证书都是某CA自己给自己颁发的,怎么能说自己给自己颁发就不会被信任呢
很简单的道理,你自己颁发的证书,是不会得到操作系统厂商的信任的。
若在天朝,身不由己
仔细想一下,这事儿真的很可怕。
鉴于12306网站的受众群体巨大,所以安装了这个根证书的计算机应该不少。
由于是根证书,可以被用来伪造任何域名的证书,理论上利用dns污染和伪造的证书,可以拦截用户的所有敏感信息。
建议还是在虚拟机里购票比较安全。
每次都是临时信任。
请问怎么临时信任
顶,多谢解释!
jayxon大侠怎么不更新迅雷了,一直用大侠的精简版,期待更新啊!!!
同样期待更新迅雷
直接用https://dynamic.12306.cn/otsweb/訪問 無視Chrome安全警告 就可以不用安裝這個證書了吧
是的
啊,这个网址好!直接跳过了。
特立独行的铁老大,故意的@@!!!!!!!!!
这个浏览器的主题很不错哦,求推荐
说的非常好
nice!
看看浏览器
早就习惯了铁道部这样了
从知乎链接进来的,谢博主,长知识了
请问如果不保存证书,只是在Chrome提示安全证书不受信任时候选择仍然继续会自动保存这个证书么?
不会保存的
楼主你好!刚刚在其他地方看到了你的关于删除CNNIC证书的博文革,删除以后发现在Android手机中也有CNNIC的证书(Nexus 4)。我把它停用了没有删除,请问这样跟在Windows中的停用一样有效么?
恩,Android上停用就可以了
迫害妄想症
这叫迫害妄想症?如果中铁证书信誉好的话为什么不自己搞定微软?
我在我的 Mac 中发现了 CNNIC,China Internet Network Information Center EV Certificates Root,UCA Root 三个根证书,都是 CN 颁发的。我把他们都禁用了。
谢谢!原来还有这个大一个阴谋。
你是谁啊?怎么知道这么多?如果不下载安全跟证书能直接注册进行12306购票吗?跪求
只是一些技术分析,没有内部消息,不安装是可以购票的,只要购票时忽略安全警告就好
可以注册购票的啊,我就从来没有安装过他们的证书,没有影响我购票。只要忽略那个不安全提示就行了。从另一个角度想,如果非得一定安装了证书才能买票,我相信很多人就不会玩了,毕竟中国的小白太多了。
为什么不全用VeriSign?因为最起码表面上看起来,要像是全国产的东西,自主研发的,这样才好要钱。
跟证书
这类文章一定要支持。
支付时候用VeriSign是不是只用交一部分钱?还是登录支付一起也是这么多钱?
如果钱都一样的话,铁道部到底想干什么?
事實相當恐怖,以前沒有了解
真相很遥远,真相的背后总有个真相,今天算是明白了一些,谢谢楼主的卓见。
browser?
1、数字证书的核心技术是用于信息传递加解密的密码算法;
2、密码算法属于每个国家的核心机密,不同国家都有自己的密码算法,密电也是一样;
3、VeriSign是美国的机构,基于美国的密码算法,遵从美国的法律;
4、SRCA是根据中国《电子签名法》设立的,使用中国密码算法的中国自主CA机构,这样的机构全国有30家;
5、数字证书认证技术没有本质的区别,都是加解密算法;
6、为什么VeriSign的证书在WINDOW系统不会有提示,因为WINDOW系统也是美国人开发的,在系统里预置了VeriSign证书,如果有朝一日中国的操作系统能够占领市场,也会这么干的;
7、美国的算法对中国人而言没有安全可言,还要花好多钱,朝鲜的网络一下子就瘫了,就是例子;
8、楼上的汉奸,你收了美国人多少钱???
1、对,证书的核心技术就是RSA算法。
2、RSA算法不是什么机密,代码都是开源的,网上随便一抓一大把,所有国家都是基于RSA的,你幻想中的自己的算法并不存在。
3、VeriSign是国际权威的数字证书颁发认证机构之一。
4、很可惜SRCA的数字证书也是用的美国的RSA算法,而且SRCA是不被国际认可的机构,不具有权威性。
5、对。
6、那你能解释一下Windows系统里面为什么还内置了那么多不是美国的机构的证书么?甚至连中国的CNNIC的证书都有。中国的操作系统占领市场?最多也就靠国家垄断,强制占领一下国内市场吧。
7、说过了所有国家的算法都是RSA,在量子计算机能被用于破解RSA之前,只要密钥位数足够,是不可能被破解的。朝鲜的网络和数字证书没有任何关系,是朝鲜的网络基础设施太差,随便哪个黑客组织都可以DDoS掉朝鲜整个网络。
8、请问这位五毛,你发这条评论只收了五毛钱吗?
你的博客要翻墙才能入,我武断的认为,被屏蔽的网站都是好东西。
比如楼主这篇文章,我很赞同, +1
打脸得真悦耳(鼓掌
这位同志的爱国心情可以理解,文章作者以及众多评论人提出的批评性观点跟汉奸没有关系,怎么批评一下就是汉奸了,这是什么逻辑,有错了还不让批评吗?如果非要说大家是汉奸,那请问你的思维是不是可以理解为法西斯思维?
2、密码算法属于每个国家的核心机密,不同国家都有自己的密码算法 — 你真的学过非对称加密吗。。。。。你又收了多少钱呢?
当了一回小白,把CNNIC证书屏蔽了,结果第二天发现QQ快速登录论坛失效。把CNNIC弄回就好了
如果有关部门利用SRCA的私钥伪造了一个Gmail的证书,然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了SRCA的根证书,你就会认为这个证书是安全的———–这个时候浏览器照样会提示Gmail这个uRL的证书有红叉叉吧?
安装SRCA的根证书就表示你让操作系统信任SRCA颁发的所有证书,所以如果你安装了的话,就不会有红叉叉,而是会显示绿色的锁,只有你点击查看详细信息的时候才能发现证书是SRCA颁发的而不是Google。
现在有了 Certificate Pining 可以部分解决这个问题但是不是所有的网站都有支持。
总感觉这个证书不靠谱,现在不安装证书只是给提示,并不影响购票。
我一直以来也以为是官僚系统和技术人员之间的矛盾问题。看了这篇文章感觉很有收获!中国的许多行政机关总是从里到外透着一种蛮横+自以为是+玩弄权柄的特色。在这样的一种状况下就算有一两个正直的人也是无用的。这些体制本身从上到下就很难让人建立信任,却偏偏毫无自知之明。中国最大的两处骗子中心,一在福建,一在北京。
福建?