為什麽在12306上買火車票要裝根證書?想要回答這個問題,那麽我們就必須先要提前回答說幾個定義:
電腦在與服務器交換敏感信息時會使用壹種叫做SSL的加密方式。在很多情況下,交換敏感信息必須要通過這個方式來進行。包括12306在內,淘寶、京東等在交換敏感信息的時候都使用了SSL進行加密。
那麽,我們怎麽知道網站是否使用了SSL加密呢?最簡單的辦法就是看看地址欄——如果網址前面寫的是“會出現什麽情況呢?12306的確使用了SSL來加密以保障網頁的安全,而訪問直接訪問12306就算不安裝根證書也不會出現任何問題。以Chrome為例,訪問主頁不會出現任何問題,但是若要訪問購票頁面就會無法訪問,如下圖所示。
12306會讓我們訪問壹個叫/otsweb的網址。如果我們直接用Chrome訪問這個網址呢?華麗麗的壹幕出現了:
使用IE8瀏覽這個頁面會出現這樣:
回到Chrome,如果我們點擊“仍然繼續”,就會正常的看到購票頁面沒有任何阻力。IE8也是壹樣,不過IE8的地址欄整個都會變成紅色的。
如果我們點擊旁邊的小鎖頭來查看關於這個證書的信息呢?會出現下圖。
再點擊“證書信息”,會看到這個12306的證書是壹個叫做SRCA的CA簽發的。
但是在“鑰匙串訪問”裏面根本沒有壹個叫做SRCA的CA。
如果安裝上了首頁給出的“根證書”,(依然以Mac為例)鑰匙串訪問裏面就會有壹個叫做“SRCA”的CA!並且本來這個證書是不受信任的,安裝之後就會被設置為“此證書已被標記為受此賬戶信任”。
這樣的話,瀏覽器和操作系統就會信任這個證書,便不會給予CA信息不對的提示了。
“SRCA”又是何許人也?在上圖中,可以看到SRCA的細節部分,“組織”填寫的是Sinorail Certification Authority
這也就不難分析了,“Sinorial”中的“S”和“R”,“Certification Authority”的“S”和“A”,就拼出來了“SRCA”。
在搜索引擎中搜索Sinorail Certification Authority中的Sinorail,就會找到這樣壹個網站。叫做“中鐵信息工程集團”。網址就是壹個網站簽證書的CA,人還懶得管妳呢!那麽小CA的私鑰失竊之後會有什麽不就措施呢?那就是證書吊銷列表,英文全稱Certificate revocation list,簡稱CRL。下文也稱呼它為CRL。更詳細的內容可以參考這裏和這裏(英文)。
CRL是幹什麽的呢?比如妳買的證書被盜了,只要將信息報告給CA,那麽CA就會把妳這個證書的信息添加到這個CA的CRL中,每次瀏覽器瀏覽加密網頁時,都會檢索CRL信息——如果沒有的話,就會提示該站點安全證書的吊銷信息不可用,是否繼續。想必讀到這裏大家也都知道了,12306的證書沒有CRL信息。這也就意味著,12306所使用的證書壹旦失竊,系統廠商不會管這個,甚至連最後壹根救命稻草CRL都沒有。
簡而言之,如果證書出了事,兩種解決辦法:
系統廠商發補丁宣布該證書失效
通過CRL宣布證書失效
不過可惜的是12306出了事,這兩招哪壹個都不頂用。
如果證書失竊,會有什麽後果?最可能的後果就是像前面的倒黴蛋壹樣倒閉。不過我大天朝鐵道部(盡管已經倒閉)欠了兩千多億還巍然不動,這個可能便沒有了。前面提到的兩種解決方案壹個也用不了,這就意味著遭殃的壹定是用戶。證書失竊,任何人都能用此來偽造虛假證書。盡管SRCA頒發的證書默認是不受到系統信任的,但是中國這麽多去過12306網站買過火車票的人——假設所有人都安裝了這個根證書使的系統對此證書信任——壹個綠色地址欄都能提升用戶這麽大的信任,違法網站只要獲得了SRCA頒發的證書,豈不就能輕易騙得用戶的信任?
如果妳是Mac用戶,並且訪問沒有任何障礙,那麽可以參考這個視頻中的步驟來將SRCA的證書設為不信任。如果要購票,反其道而行之即可。
從證書的角度看,中國很多大佬都做的非常不到位。比如我手裏的建行網銀,在安裝U盾的時候必須安裝壹個網銀根證書。SSL證書方面中國也做的很不到位。比如京東只有在用戶登陸的時候才用了SSL來加密,而京東甚至在下訂單的時候依然是明文傳輸。新浪微博在更改個人敏感信息時仍然使用明文傳輸,而twitter在早期甚至連微博內容都用https。如果使用不加密的公***Wi-Fi的話,那麽在同壹個Wi-Fi熱點下有壹個黑客,黑客便可以非常輕松的竊取到妳的個人信息。
P.S.:現在12306在付款的過程中使用了VeriSign簽發的合格的證書,但是這樣並不代表著上面所說的可能造成的嚴重影響不會發生。