这个网站最近相当的火爆,Alexa 排名瞬间变成了全球几百名左右,不过这个网站有多烂也是有目共睹的,很多人说是人太多造成的,当然那是一个很重要的原因,但是还有很多问题是与人多少没有关系的。比如对非 IE 浏览器的兼容问题、无处不在的验证码(登录要验证码、查询余票要验证码、提交订单还要验证码)、购票成功后那红色并且闪烁着的“牢记”两个大字让人感觉好像被骗了、注册时需要填写的信息过多(什么语音查询密码有必要非得填么?)、语音查询密码是明文保存的(在网页源代码就能看到)等等,我这里来谈一谈证书的问题。

  大家都知道 https 的网页是加密的,是需要证书的,网购火车票的网址是 http://www.12306.cn/mormhweb/kyfw/,这个是 http 的普通网页,没有加密,是明文传输的,不需要证书。但是他里面有个 iframe,也就是嵌套了另一个网页,地址是 https://dynamic.12306.cn/otsweb/,这里就是 https 的了。

  但是如果使用 Chrome、Firefox 或者 IE8、9 等浏览器都会显示这个网站的证书有安全问题。因为 dynamic.12306.cn 使用的是 SRCA 颁发的证书,这个证书在我们的计算机中是默认不被信任的,也就是不安全的。

Chrome:

2012-01-10-22-03-24-chrome
2012-01-10-22-03-24-chrome

Internet Explorer 9:

2012-01-10-21-56-49-ie
2012-01-10-21-56-49-ie

  什么是 SRCA?SRCA 就是 Sinorail Certification Authority,中文名叫中铁数字证书认证中心,简称中铁 CA。这是个铁道部自己搞的机构,相当于是自己给自己颁发证书,既当裁判又当运动员,当然不会被信任。更多信息请见这个机构的网站 http://www.sinorailca.com

  于是,12306就在首页显著位置标明:为保障您顺畅购票,请下载安装根证书。一般人如果看到这个肯定会按照要求下载安装的。下载后解压里面有个“SRCA根证书安装说明手册.doc”,这个 doc 格式我就先不吐槽了,还是先说说内容吧。

  这个文档一开头就有这么一段话:

尊敬的用户:
  您现在安装的是中铁数字证书认证中心(中铁 CA,SRCA)的根证书,完成这个操作可以使您的购票体验更为顺畅,同时获得一个更安全的网络购票环境。中铁 CA 是由工业和信息化部审批通过的合法电子认证服务机构,该产品及相关操作不会对您的计算机构成危害,请您放心使用。

  安装了你的证书会使我的网络购票更顺畅更安全?我怎么不知道证书还有这种神奇的能力?是不是 Windows 优化大师、360 安全卫士之类的软件都应该集成一个安装 SRCA 的证书的功能啊?再看后面,“该产品及相关操作不会对您的计算机构成危害,请您放心使用。”怎么感觉好像是此地无银三百两呢?

  玩笑话就说到这里吧,下面来说说安装了这个证书到底会有什么危害。下面由于涉及到一些密码学的知识,限于篇幅和本人的表达能力,可能解释得不是很清楚,如果有什么不明白的地方建议学习一下这篇文章,图文并茂,解释得比较清晰。

  如果你按照这个文档的步骤安装了 SRCA 的根证书的话,那么以后所有 SRCA 颁发的证书在你的电脑上都会被认为是安全的。这有什么危害呢?首先 SRCA 是一个体制内的部门,所以他完全有可能会被有关部门控制。如果有关部门利用 SRCA 的私钥伪造了一个 Gmail 的证书,然后有关部门再通过 ISP 或者某墙稍微运作,拦截你与 Gmail 服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了 SRCA 的根证书,你就会认为这个证书是安全的,也就是说你就会以为你收到的内容是 Gmail 服务器发送的。这样有关部门就在你和 Gmail 服务器之间充当了一个中间人的角色。这样你和 Gmail 服务器之间的所有加密通信就都神不知鬼不觉地被有关部门监听了,他们就可以得到你的邮件的内容甚至还有可能得到 Gmail 的密码。这就是著名的中间人攻击 MITM

  这里只是以 Gmail 为例,因为有关部门多次试图获得一些异见人士的 Gmail 邮件内容,就不详细说了。

  说完了安装证书的危害,那么为什么不使用 VeriSign 这个受信任的机构颁发的证书呢?有些人就开始出来为铁道部辩护了,说铁道部不愿意花钱买证书,或者技术人员提出了要购买证书的要求但是领导不懂这些所以不同意等等。最开始我也觉得这个是有可能的,毕竟这是在天朝。但是后来发现 https://epay.12306.cn/ 这个完成订票后用来支付的二级域名就是用的 VeriSign 颁发的证书。那为什么登陆账号以及订票不使用这个 VeriSign 的证书呢?

2012-01-10-19-29-58
2012-01-10-19-29-58

2012-01-10-19-32-58
2012-01-10-19-32-58

  实在是匪夷所思,无法找出合理的解释。所以我只好认为是这样的:铁道部由于某个特殊的原因,希望大家在自己的电脑上面安装 SRCA 的根证书,但是他自己也知道使用自签名的证书是很危险的,不过登陆和订票部分只是涉及到用户的隐私问题而已,即使有安全问题也无所谓的,天朝的屁民本来就没有什么隐私的。但是支付部分涉及到钱,如果出了事儿就比较麻烦,所以支付部分还是使用了 VeriSign 的证书。

版权声明:本文为原创文章,版权归 所有。

本文链接:https://blog.benhon.net/archives/122.html

所有原创文章采用知识共享 署名-非商业性使用 4.0 国际 许可协议进行许可,你可以自由地转载和修改,但请务必注明文章来源并且不可用于商业目的。