【转】为什么不应该安装铁道部12306订票网站的根证书

原文地址:http://www.jayxon.com/2012/01/12306-certificate/

原文标题:12306的证书问题

博主按:对于12306订票网站要求安装的所谓的“根证书”我其实并不想吐槽,因为我觉得吐槽不足以表达从见到它第一眼起至今一直以来的愤怒。对于了解HTTPS相关的一些信息安全知识的同学来讲大家都懂得这里面的利害关系,但对于不懂计算机的群众来讲,铁道部此举实属欺诈,可以说12306是货真价实的钓鱼网站。今日放假订票又在醒目的位置看到了要求安装“钓鱼证书”的指示,博主认为在当今坑爹的互联网环境下网民应该提高自身的知识与判断力,故网上觅得此文转载供大家科普。

=======================================================

这个网站最近相当的火爆,Alexa排名瞬间变成了全球几百名左右,不过这个网站有多烂也是有目共睹的,很多人说是人太多造成的,当然那是一个很重要的原因,但是还有很多问题是与人多少没有关系的。比如对非IE浏览器的兼容性问题、无处不在的验证码(登录要验证码,查询余票要验证码,提交订单还要验证码)、购票成功后那红色并且闪烁着的“牢记”两个大字让人感觉好像被骗了、注册时需要填写的信息过多(什么语音查询密码有必要非得填么?)、语音查询密码是明文保存的(在网页源代码就能看到)等等,我这里来谈一谈证书的问题。

大家都知道https的网页是加密的,是需要证书的,网购火车票的网址是http://www.12306.cn/mormhweb/kyfw/,这个是http的普通网页,没有加密,是明文传输的,不需要证书。但是他里面有个iframe,也就是嵌套了另一个网页,地址是https://dynamic.12306.cn/otsweb/,这里就是https的了。

但是如果使用Chrome、Firefox或者IE8、9等浏览器都会显示这个网站的证书有安全问题。因为dynamic.12306.cn使用的是SRCA颁发的证书,这个证书在我们的计算机中是默认不被信任的,也就是不安全的。

Chrome:

IE9:

什么是SRCA?SRCA就是Sinorail Certification Authority,中文名叫中铁数字证书认证中心,简称中铁CA。这是个铁道部自己搞的机构,相当于是自己给自己颁发证书,当然不会被信任。更多信息请见这个机构的网站

于是,12306就在首页显著位置标明:为保障您顺畅购票,请下载安装根证书。一般人如果看到这个肯定会按照要求下载安装的。下载后解压里面有个“SRCA根证书安装说明手册.doc”,这个doc格式我就先不吐槽了,还是先说说内容吧。

这个文档一开头就有这么一段话:

尊敬的用户:

您现在安装的是中铁数字证书认证中心(中铁CA,SRCA)的根证书,完成这个操作可以使您的购票体验更为顺畅,同时获得一个更安全的网络购票环境。中铁CA是由工业和信息化部审批通过的合法电子认证服务机构,该产品及相关操作不会对您的计算机构成危害,请您放心使用。

安装了你的证书会使我的网络购票更顺畅更安全?我怎么不知道证书还有这种神奇的能力?是不是Windows优化大师、360之类的软件都应该集成一个安装SRCA的证书的功能啊?

再看后面,“该产品及相关操作不会对您的计算机构成危害,请您放心使用。”怎么感觉好像是此地无银三百两呢?

玩笑话就说到这里吧,下面来说说安装了这个证书到底会有什么危害。

下面由于涉及到一些密码学的知识,限于篇幅和本人的表达能力,可能解释得不是很清楚,如果有什么不明白的地方建议学习一下这篇文章,图文并茂,解释得比较清晰。

如果你按照这个文档的步骤安装了SRCA的根证书的话,那么以后所有SRCA颁发的证书在你的电脑上都会被认为是安全的。这有什么危害呢?首先SRCA是一个体制内的部门,所以他完全有可能会被有关部门控制。如果有关部门利用SRCA的私钥伪造了一个Gmail的证书,然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了SRCA的根证书,你就会认为这个证书是安全的,也就是说你就会以为你收到的内容是Gmail服务器发送的。这样有关部门就在你和Gmail服务器之间充当了一个中间人的角色。这样你和Gmail服务器之间的所有加密通信就都神不知鬼不觉得被有关部门监听了,他们就可以得到你的邮件的内容甚至还有可能得到Gmail的密码。这就是著名的中间人攻击(MITM)。

这里只是以Gmail为例,因为有关部门多次试图获得一些异见人士的Gmail邮件内容,就不详细说了。

说完了安装证书的危害,那么为什么不使用VeriSign这个受信任的机构颁发的证书呢?

有些人就开始出来为铁道部辩护了,说铁道部不愿意花钱买证书,或者技术人员提出了要购买证书的要求但是领导不懂这些所以不同意等等。

我最开始也觉得这个是有可能的,毕竟这是在天朝。但是后来我发现https://epay.12306.cn/这个完成订票后用来支付的二级域名就是用的VeriSign颁发的证书。那为什么登陆账号以及订票不使用这个VeriSign的证书呢?

由于我实在无法找出合理的解释,所以我只好认为是这样的:铁道部由于某个特殊的原因,希望大家在自己的电脑上面安装SRCA的根证书,但是他自己也知道使用自签名的证书是有危险的,不过登陆和订票部分只是涉及到用户的隐私问题而已,即使有安全问题也无所谓的,天朝的p民本来就没有什么隐私的。但是支付部分涉及到钱,如果出了事儿就比较麻烦,所以支付部分还是使用了VeriSign的证书。

One Reply to “【转】为什么不应该安装铁道部12306订票网站的根证书”

  1. 我艹… 我还以为根证书只对使用下载该证书的浏览器有效,尼玛居然是全局的,防不胜防啊… GOV真心是在下一盘很大的棋…
    难道天朝用户使用国内服务只有虚拟机这一条路了么!!!!

Leave a Reply

Your email address will not be published. Required fields are marked *