安全:为什么我们必须停止信任12306的根证书

相信大家应该都通过中国铁路总公司旗下的火车票在线购票网站12306 以及其客户端应用程序购买过火车票。

当我们在访问12306 网站时可以在首页看到要求下载根证书,然后需要按照指南将根证书添加到系统信任区。

如果不下载根证书会怎么样:那么你在访问购票页面时浏览器会发出证书错误提示并直接阻止掉页面继续加载。

为什么我们要删除系统中的12306数字证书

为什么会被浏览器阻止加载:

为避免遭到中间人攻击提高安全性因此很多网站开始部署HTTPS连接,使用加密连接可以避免出现数据泄露。

为了保证安全各个系统都已经存储公开可信的根证书, 而网站和服务器使用的证书则由这些根证书进行信任。

如果证书并不是由公开可信的拥有根证书的颁发机构签发的, 那么这些证书在系统以及浏览器上会被拦截掉

而12306网站所使用的证书是由名为 SRCA 的机构签发,这个根证书的签发机构实际就是中铁信息工程集团。

如果你查看证书细节就会发现系统提示此 CA 根目录证书不受信任没错这压根就是个自己生成的三无证书

为什么我们要删除系统中的12306数字证书

为什么12306要求你添加信任SRCA根证书:

既然证书是自己生成的其他浏览器和操作系统自然不会信任,那么为了信任只能让用户手动添加到信任区域。

当添加过后再次访问12306网站那么这个由 SRCA 签发的证书才被信任,于是你就可以正常的打开12306了。

信任SRCA根证书有何意义:

本质上这样做没有任何意义,对于12306网站来说使用这个自签名数字证书确实可以避免用户数据出现泄漏。

如果有人试图伪造12306网站证书进行中间人攻击,即使在信任 SRCA 根证书的情况下也会遭到浏览器拦截。

看起来像是个不错的安全措施?但千万别忘了 SRCA 根证书以及12306所使用的证书都是其自己直接生成的。

信任SRCA根证书危害在哪里?

中铁信息工程集团本身是未经审计的证书签发机构,同时也没有 PKI 基础设施对证书进行管理或者吊销操作

如果 SRCA 根证书出现安全问题例如泄露了私钥那么中铁信息工程集团也没有办法及时吊销证书来防止伪造。

如果 SRCA 根证书私钥泄露那么攻击者不但可伪造12306证书进行劫持,同时还可以伪造任意网站进行劫持

例如攻击者可以伪造支付宝网站或者网银证书并制作钓鱼网站, 这样你访问钓鱼网站的时候浏览器不会拦截。

然后在你输入支付宝账号密码以及支付密码点击提交的时候, 攻击者在服务器上即可获得你的所有关键信息。

为12306购票网站的安全而把其他所有网站安全都直接抛之不顾, 显然这样做既不会安全也是非常不值得的

正如前面所说大家购票时基本都按照要求信任了 SRCA 根证书,而证书泄露了也没法通过基础设施进行吊销。

因此这个时候即使中铁信息工程集团想要补救都是没办法的, 因为不可能将删除证书的消息通知到所有用户。

防范于未然:与其明知是个巨大的安全风险还在用不如早早行动,删除对 SRCA 根证书的信任确保财务安全

删除对SRCA根证书的信任有何影响:

删除 SRCA 根证书最大危害无非是假如出现中间人攻击那么你的12306网站账号和密码可能会出现泄漏问题。

同时在你浏览器访问12306网站时会被拦截需要进一步操作, 也就是点击浏览器高级选项里的继续访问按钮。

除此之外基本对你的日常购票操作没有什么影响, 至少12306网站付款时还是要进入支付宝等其他网站支付。

因此这对你的财务账号来说也不会造成任何安全问题,所以删除对 SRCA 根证书的信任是非常有必要的操作。

12306会缺钱买个正规数字证书?

很多网友在访问12306出现证书问题时可能都会想到这么大个公司难道没有几千块钱买个正规的数字证书么?

当然不是:例如下图12306网站的子域名 epay.12306.cn 早在2016年时直接购买3年期的赛门铁克数字证书。

对于为什么12306的购票页面没有购买和部署正规HTTPS 数字证书我们只能猜测是技术问题而不是资金问题。

不过不管如何如果你添加了对 SRCA 根证书的信任,那么赶紧去证书管理系统里面删除对这个证书的信任吧。

为什么我们要删除系统中的12306数字证书

如何删除已经信任的SRCA根证书:如果你之前从未导入那么不需操作

Windows系统:

1、开始菜单或者Cortana搜索certmgr.msc或者在点开运行然后输入certmgr.msc回车均可打开证书管理;

为什么我们要删除系统中的12306数字证书

2、点击左侧的受信任根证书颁发机构 --- 证书 --- 然后找到这个名为SRCA的根证书点右键选择删除按钮:

为什么我们要删除系统中的12306数字证书

Mozilla Firefox 浏览器:(其他浏览器无需此操作)

Mozilla Firefox 浏览器内置独立的证书管理系统,如果你使用该浏览器那么需要到浏览器的证书管理器操作:

1、打开Mozilla Firefox浏览器点击右上角的三道杠菜单选择选项,然后依次打开高级---证书---查看证书:

2、找到SRCA根证书然后点击下方的删除或者不信任,然后将其删除即可,删除完成后点击确定完成操作。

为什么我们要删除系统中的12306数字证书

Mac系统:

Mac 系统打开应用程序---其他---钥匙串访问然后先解锁再搜索SRCA即可看到你此前导入的SRCA证书。

右键点击SRCA证书选择简介---信任---使用此证书时将其始终信任改成永不信任即可完成禁用证书操作。

为什么我们要删除系统中的12306数字证书

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

15 条评论,访客:15 条,站长:0 条
  1. kalen2482
    kalen2482发布于: 
    Google Chrome 60.0.3112.90 Google Chrome 60.0.3112.90 Windows 7 64位版 Windows 7 64位版

    自签名证书而已,只有公钥,没有私钥也仿冒不了,应该问题不大。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Safari 11.0 Safari 11.0 iPad iOS 11.0 iPad iOS 11.0

      文中已经提了 没有pki基础设施和吊销系统 一旦私钥泄露 后果不堪设想

  2. 等你在雨中
    等你在雨中发布于: 
    WebView 4.0 WebView 4.0 Android 6.0 Android 6.0

    问题是没有信任证书一直能够进入网站,只不过连接方式为http提示非安全的连接。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

      是这样的 所以完全没必要信任

  3. 惕励
    惕励发布于: 
    Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

    网页版的12306用的太少,一直没信任过。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

      确实 现在都是手机端用的多

  4. 索洋
    索洋发布于: 
    Google Chrome 59.0.3071.125 Google Chrome 59.0.3071.125 Android 5.1.1 Android 5.1.1

    我记得12306现在有个新版入口,不用根证书就能用了,另外我导入了好多次根证书老网站还是用不了,不知道是什么情况

  5. kg
    kg发布于: 
    Firefox 55.0 Firefox 55.0 Windows 8.1 64位版 Windows 8.1 64位版

    技术问题。。。。。。

  6. 白天没雨
    白天没雨发布于: 
    Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

    看了这篇文章后赶紧删除了

  7. 光脚满地跑
    光脚满地跑发布于: 
    Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 64位版 Windows 10 64位版

    鸭子哥,在我这里显示的是starfield root certificate authority
    是srca的缩写不?

  8. ASce
    ASce发布于: 
    Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 7 64位版 Windows 7 64位版

    可以详细解析下为什么是技术问题?我不懂建设网站,但也稍微接触过服务器,按理来说,部署一个https证书技术难度没那么大吧?政治原因?

  9. tedwcy
    tedwcy发布于: 
    Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

    这么看还真应该删了

  10. 雾落尘
    雾落尘发布于: 
    Google Chrome 60.0.3112.101 Google Chrome 60.0.3112.101 Windows 10 64位版 Windows 10 64位版

    绝对不会是技术问题的,12306有无数大牛,还有阿里云团队在帮忙,只能想是墙的组织在添乱,一个劫持一个中间人,天衣无缝.不过攻破12306不比攻破银行容易

发表评论