www.12306.cn 网站的证书问题解析

由于十一假期将至，从昨天起就可以网上预定9月30日（当天为中秋节，国庆假期8天的第一天），所以，铁路客户服务中心（http://www.12306.cn/）就是大家抢票的唯一去处，特别是上班的白领，在上班时间只能上网订票，不可能上班一直打电话订。

可是，从昨天有人放出添加122.228.243.22 dynamic.12306.cn 或 61.183.42.94 dynamic.12306.cn 的 hosts 后可以很容易的登录成功。

这里就来谈谈，12306.cn 的安全问题。

其实，对于这个自行添加的指向IP也不一定安全。

大家都知道https的网页是加密的，是需要证书的，网购火车票的网址是http://www.12306.cn/mormhweb/kyfw/，这个是http的普通网页，没有加密，是明文传输的，不需要证书。但是他里面有个iframe，也就是嵌套了另一个网页，地址是https://dynamic.12306.cn/otsweb/，这里就是https的了。

但是如果使用Chrome、Firefox或者IE8、9等浏览器都会显示这个网站的证书有安全问题。因为dynamic.12306.cn使用的是SRCA颁发的证书，这个证书在我们的计算机中是默认不被信任的，也就是不安全的。

什么是SRCA？SRCA就是Sinorail Certification Authority，中文名叫中铁数字证书认证中心，简称中铁CA。这是个铁道部自己搞的机构，相当于是自己给自己颁发证书，当然不会被信任。更多信息请见这个机构的网站，中铁数字证书认证中心（http://www.sinorailca.com/ ）。

于是，12306就在首页显著位置标明：为保障您顺畅购票，请下载安装根证书。一般人如果看到这个肯定会按照要求下载安装的。下载后解压里面有个“SRCA根证书安装说明手册.doc”，这个doc格式我就先不吐槽了，还是先说说内容吧。

这个文档一开头就有这么一段话：

尊敬的用户：

您现在安装的是中铁数字证书认证中心（中铁CA，SRCA）的根证书，完成这个操作可以使您的购票体验更为顺畅，同时获得一个更安全的网络购票环境。中铁CA是由工业和信息化部审批通过的合法电子认证服务机构，该产品及相关操作不会对您的计算机构成危害，请您放心使用。

安装了你的证书会使我的网络购票更顺畅更安全？我怎么不知道证书还有这种神奇的能力？是不是Windows优化大师、360之类的软件都应该集成一个安装SRCA的证书的功能啊？

再看后面，“该产品及相关操作不会对您的计算机构成危害，请您放心使用。”怎么感觉好像是此地无银三百两呢？

玩笑话就说到这里吧，下面来说说安装了这个证书到底会有什么危害。

下面由于涉及到一些密码学的知识，限于篇幅和本人的表达能力，可能解释得不是很清楚，如果有什么不明白的地方建议学习一下这篇文章，图文并茂，解释得比较清晰。

如果你按照这个文档的步骤安装了SRCA的根证书的话，那么以后所有SRCA颁发的证书在你的电脑上都会被认为是安全的。这有什么危害呢？首先SRCA是一个体制内的部门，所以他完全有可能会被有关部门控制。如果有关部门利用SRCA的私钥伪造了一个Gmail的证书，然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信，然后把自己伪造的证书发给你，由于你安装了SRCA的根证书，你就会认为这个证书是安全的，也就是说你就会以为你收到的内容是Gmail服务器发送的。这样有关部门就在你和Gmail服务器之间充当了一个中间人的角色。这样你和Gmail服务器之间的所有加密通信就都神不知鬼不觉得被有关部门监听了，他们就可以得到你的邮件的内容甚至还有可能得到Gmail的密码。这就是著名的中间人攻击（MITM）。

这里只是以Gmail为例，因为有关部门多次试图获得一些异见人士的Gmail邮件内容，就不详细说了。

说完了安装证书的危害，那么为什么不使用VeriSign这个受信任的机构颁发的证书呢？

有些人就开始出来为铁道部辩护了，说铁道部不愿意花钱买证书，或者技术人员提出了要购买证书的要求但是领导不懂这些所以不同意等等。

我最开始也觉得这个是有可能的，毕竟这是在天朝。但是后来我发现https://epay.12306.cn/这个完成订票后用来支付的二级域名就是用的VeriSign颁发的证书。那为什么登陆账号以及订票不使用这个VeriSign的证书呢？

由于我实在无法找出合理的解释，所以我只好认为是这样的：铁道部由于某个特殊的原因，希望大家在自己的电脑上面安装SRCA的根证书，但是他自己也知道使用自签名的证书是有危险的，不过登陆和订票部分只是涉及到用户的隐私问题而已，即使有安全问题也无所谓的，天朝的p民本来就没有什么隐私的。但是支付部分涉及到钱，如果出了事儿就比较麻烦，所以支付部分还是使用了VeriSign的证书。

至于什么问题，我就不明说了，提醒一点12306的根证书的私钥可以伪造某些网站的证书，配合下某墙，能干的事情多了去了，浏览器也不会提示错误。

所以买完票后，记得把12306根证书删掉吧。

删除12306的根证书的方法：

开始-运行-certmgr.msc

然后找到-受信任的根证书颁发机构–》证书--下拉找到“SRCA”证书项目，删掉即可。

这样的话至少心理面安心一点了。

提示：涉及比较机密的东西可以使用FireFox浏览器，它的证书系统是内置的，和系统证书无关。