为什么在12306买火车票要装根证书？

使用IE8浏览这个页面会出现这样：

回到Chrome，如果我们点击“仍然继续”，就会正常的看到购票页面没有任何阻力。IE8也是一样，不过IE8的地址栏整个都会变成红色的。

如果我们点击旁边的小锁头来查看关于这个证书的信息呢？会出现下图。

再点击“证书信息”，会看到这个12306的证书是一个叫做SRCA的CA签发的。

但是在“钥匙串访问”里面根本没有一个叫做SRCA的CA。

如果安装上了首页给出的“根证书”，（依然以Mac为例）钥匙串访问里面就会有一个叫做“SRCA”的CA！并且本来这个证书是不受信任的，安装之后就会被设置为“此证书已被标记为受此账户信任”。

这样的话，浏览器和操作系统就会信任这个证书，便不会给予CA信息不对的提示了。

“SRCA”又是何许人也？在上图中，可以看到SRCA的细节部分，“组织”填写的是Sinorail Certification Authority

这也就不难分析了，“Sinorial”中的“S”和“R”，“Certification Authority”的“S”和“A”，就拼出来了“SRCA”。

在搜索引擎中搜索Sinorail Certification Authority中的Sinorail，就会找到这样一个网站。叫做“中铁信息工程集团”。网址就是http://www.sinorail.com/。

听名字就知道这网站跟12306肯定是亲戚关系。换种话说，就是自己给自己发证书。你说这证书能可信吗？

正规CA的证书可不是白给的。要不然CA靠什么吃饭？一个SSL证书从每年三百块RMB到一万五不等。据我所知，最贵的证书是VeriSign签发的，一万五的那个就是他。而便宜的三百块证书——只要不是VeriSign，其他CA签出来的最便宜的证书差不多都这个价。比较便宜的代表是Go Daddy、Comodo等。为什么12306要使用自己给自己的证书呢？貌似唯一的合理解释就是省钱。能省大概三百到一万五不等。

铁道部有时候买一张火车票就差不多够一年的证书钱了。

那么又为什么说铁道部用自己的证书不安全呢？有些人在12306上买票时会看到“该站点安全证书的吊销信息不可用，是否继续”的提示语，这又是什么意思呢？

从前有个倒霉的的荷兰CA，叫DigiNotar。这CA被黑客攻破，导致这家CA办法给一些用户的证书的私钥失效（私钥是在SSL加密环节中非常重要的东西），这就使得以这家CA的名义伪造证书成了可能。黑客可以通过这家公司的名义伪造证书给一些非法网站，客户一看这是加密过的还是大型CA签出来的证书便很容易信任。因为DigiNotar名气很大，并且很多大公司都使用它的证书，微软等操作系统厂商在这事情发生之后开始忙不迭的发布更新补丁来宣布DigiNotar的证书失效。

微软在 KB2607712 补丁中宣布了DigiNotar的根证书无效。原文如下：

Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书，DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户（包括 Internet Explorer 用户）执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞，但是此问题会影响 Microsoft Windows 的所有受支持版本。

这家倒霉公司最后因为这件事华丽丽的破产了。

正如这件事一样，有些知名CA出了事，微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA，尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA，人还懒得管你呢！那么小CA的私钥失窃之后会有什么不就措施呢？那就是证书吊销列表，英文全称Certificate revocation list，简称CRL。下文也称呼它为CRL。

CRL是干什么的呢？比如你买的证书被盗了，只要将信息报告给CA，那么CA就会把你这个证书的信息添加到这个CA的CRL中，每次浏览器浏览加密网页时，都会检索CRL信息——如果没有的话，就会提示该站点安全证书的吊销信息不可用，是否继续。想必读到这里大家也都知道了，12306的证书没有CRL信息。这也就意味着，12306所使用的证书一旦失窃，系统厂商不会管这个，甚至连最后一根救命稻草CRL都没有。

简而言之，如果证书出了事，两种解决办法：

系统厂商发补丁宣布该证书失效 通过CRL宣布证书失效

不过可惜的是12306出了事，这两招哪一个都不顶用。

如果证书失窃，会有什么后果？最可能的后果就是像前面的倒霉蛋一样倒闭。不过我大天朝铁道部（尽管已经倒闭）欠了两千多亿还巍然不动，这个可能便没有了。前面提到的两种解决方案一个也用不了，这就意味着遭殃的一定是用户。证书失窃，任何人都能用此来伪造虚假证书。尽管SRCA颁发的证书默认是不受到系统信任的，但是中国这么多去过12306网站买过火车票的人——假设所有人都安装了这个根证书使的系统对此证书信任——一个绿色地址栏都能提升用户这么大的信任，违法网站只要获得了SRCA颁发的证书，岂不就能轻易骗得用户的信任？

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!