`
6100lyb
  • 浏览: 1471 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

12306的SSL证书为何不受信任?

阅读更多
今年1月9日,小年夜(1月28日)的火车票开售,12306网站当日点击量高达144亿次。然而,这同时意味着,IE已阻止该网站内容、该内容没有签署有效的安全证书等情况,在这天购票者打开12306时至少出现了上亿次。
  原本每年只需要支付数千元就可以使用的国际标准网络安全SSL证书,不知何故,始终没能在12306上被使用,而根据记者的调查,12306提供的根证书SRCA(中铁CA)是其自行发布的证书,采用的加密方式在三年半前已被微软认定为不安全。截止到发稿,12306并未对记者的提问做出回应。
  记者调查:12306网站为何不受信任?
  用户投诉:12306总是被浏览器屏蔽
  袁元(化名)近日投诉,用IE、火狐等多种浏览器打开12306网站时,总会出现Internet Explore已阻止此网站显示有安全证书错误的内容、内容被阻止,因为该内容没有签署有效的安全证书等提示。他说:两年前12306刚上线时就发现了这个问题,当时以为是在测试,没想到这么长时间过去了,这个问题依然存在。为什么浏览器总会如此提示?12306并没有做解释,只在首页上一则网上购票由于安全警告无法登录问题说明的公告中提供了解决方案:
  为了保证用户顺利进行网站的使用,请在首页下载根证书,按说明进行导入即可。
  记者实际操作发现,凡是在IE浏览器中点击购票、退票等涉及到支付的页面,都会出现不受信任的提示。即使从首页下载安装根证书时,也会出现网站证书不受信任的提示。如果选择信任该网站并强制打开该网页,在浏览器的地址栏上也会出现红色的底色,提醒用户该网站证书错误。
  袁元是一个程序员,在他看来,12306出现这个问题非常幼稚:安全证书相当于网站的身份证。浏览器在登录网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性。很难想象,12306作为中国唯一的官方铁路售票网站,竟然没有一个让人信任的安全证书。记者就此问题联系了12306,其客服表示网站能保证安全,用户可以不用担心那些提示。
  黑客解读:没有SSL证书等于裸奔 让袁元如此纠结的安全证书究竟是什么?
  所谓安全证书,就是通常所说的SSL认证,它是一种国际通用的Web安全标准,主要通过对敏感数据加密来防止各种攻击非法读取重要信息,保证数据的完整性和安全性,包括我们经常遇到的,如数据劫持和钓鱼攻击等,通过SSL,只有授权用户才能读取数据。曾在世界黑客大赛上获得冠军的上海KeenTeam团队主攻手陈良解释,当用户连接到网站时,如果Web站点已经加入SSL证书,服务器将受证书保护,并自动传送网站数字证书给用户,此时用户端的网页浏览器程序就会产生一把唯一的会话钥匙码,从而将用户端和网站之间所有的通讯过程加密。陈良作为黑客专家,经常尝试去攻破一些网站和系统,他告诉记者,没有SSL安全证书的网站,一旦被黑客盯上,窃取用户信息是很简单的,因为少了一步破解密码的过程。
  证书疑云:国产证书究竟安不安全?
  严格意义上说,12306并非没有SSL证书,它只是没有一个被浏览器认可的证书。根据12306网站提示,记者下载了其所推荐的根证书。从其信息中看,这个名为SRCA的证书是由中铁数字证书认证中心发布的根证书,在其介绍中,中铁CA(认证机构)是由工业和信息化部审批通过的合法电子认证服务机构。不到一成国产CA通过国际标准 据了解,中国目前有34家CA认证机构,都获得了工信部颁发的《电子认证服务许可证》。赛迪智库信息安全研究所所长、中国电子认证服务产业联盟秘书长刘权表示,34家机构都有权颁发企业证书、法人证书、网站SSL证书等,但网站SSL证书比较特殊,并不是每家机构所发放的SSL证书都适应客户端环境,这就是为什么有的网站会出现该网站证书不受信任的原因。
  要适应所有客户端环境,就要通过国际Webtrust认证,网站才能把根证书放到微软等操作环境中,用户也不会收到提示,但通过该认证的门槛比较高。不过刘权也说明,没经过Webtrust认证并不表示不安全,只要是34家机构颁发的证书,安全性基本上没问题。 Webtrust是由全球两大著名注册会计师协会AICPA(美国注册会计师协会)和CICA(加拿大注册会计师协会)共同制定的安全审计标准,主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。只有通过Webtrust国际安全审计认证,根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。
  记者了解到,目前,在国内也有颁发经过Webtrust认证的全球可信SSL证书的机构,比如Globalsign等。对于申请证书的流程,各方机构都表示只要经过提供营业执照、填写申请表等简单的步骤,在机构接受申请后进行审核,材料真实并且网站运营正常的话,只需3天就可拿到证书,基本没技术难度,费用一般是每年几千元,申请成功之后,就会实现安全通道加密等功能。
  微软对1024位加密说NO
  12306没通过的还有微软这一关。其根证书信息显示,采用的公钥长度是1024位,但记者查看了国内几家大型网站证书发现,其公钥长度均为2048位。
  理论上,公钥长度越长,加密信息越难被破解。 2010年,被广泛应用于数字证书的1024位RSA非对称密钥算法被认为可能已被破解,美国国家标准技术研究院(NIST)要求2010年12月31日之前停止使用1024位RSA算法,微软则通知全球所有受信任的根证书颁发机构(CA),必须尽快从1024位的根证书向2048位迁移,并于2010年12月31日把所有1024位根证书从受信任根证书中删除。陈良表示,或许正基于此,1024位的12306根证书被IE浏览器默认为不被信任。
  延伸阅读:
  SSL认证非强制 全靠网站自觉石先生本欲从淘宝网购一批iPod,可货没到手,支付宝账户里近2万元的货款却不翼而飞,原因是上了一个假淘宝网页,这是最近发生的一个真实案例。
  4月29日,北京市政府宣布此日为首都网络安全日,在多元化的网络时代,安全备受重视,却又似乎最被忽视。
  人们总是被一波又一波的信息泄露事件搞得风声鹤唳,却总是搞不清,究竟怎样才能算是登录一个安全的网站。对于网站访问者而言,有很多办法来判断网站的真伪,比如不要点击搜索的链接,直接输入网址等等,但要求所有上网者都有如此敏锐的判断力似乎难度过高,SSL安全证书是网站方提供的最简单的辨识方法。上海某安全机构工作人员龚miss告诉记者,SSL网站安全证书的功能不仅于此,CA作为第三方认证机构,会记录下网站的每一步操作记录,如果使用了合法CA的认证服务,根据《电子签名法》,举证的责任由合法CA完成。龚miss说,对于一些专业性要求较高的垂直网站,如医疗类、金融类等网站,如果在运营过程中出现违规操作现象,查实后,证书会有被吊销的可能。近年来,随着网站的大规模增长以及钓鱼网站的大肆横行,中国政府部门越来越重视网站信息安全。
  早在2012年,中国政府就开始试点对所有省市级的政府门户网站进行网站安全认证。记者登录了一些常用的购物网站,在美团网上,记者选择了上海杨浦区某KTV店销售的代金券,点击购买、付款,渠道畅通,没有出现无安全证书的字眼。随后,记者又登录了凡客诚品,选择男装的一款卫衣,加入购物车,并顺利付款。
  龚miss告诉记者,目前很多大中型企业、网站,尤其是金融、证券、购物等网站对安全比较重视,但小企业对此重视度不够。更为关键的原因是,对网站安全认证并不是一条强制性的规定,全靠网站自觉。
  


  记者手记:上不被信任的网站怕什么?
  在写这篇稿件的时候,记者脑子里经常浮现出第一次在12306上买票时的情景:当浏览器跳出不安全提示时,记者第一反应是上了假网站,但又没找到其它网站,胆颤心惊中完成了整个购票过程。在随后的几次购票中,12306都出现这个提醒,现在也似乎习以为常了,甚至当其它网站出现类似提醒时,也都视而不见。可如今转念一想,这样的后果会是什么?
  首先,用户会对这个网站的合法性产生怀疑,网站很难获得用户的信任;
  其次,钓鱼网站很容易模仿,因为真网站、假网站都会报证书错误,用户根本分辨不出来;
  最后,如果信息传输过程没有加密或者加密手段不够高明,很容易被黑客中途截获并泄露。 既然有这么多可能的后果,
  12306为何不及早解除购票者的后顾之忧呢?
  解决方法有二:出资购买符合国际标准的SSL证书,一年三四千元应该不贵吧;或者提升自己证书的实力,达到国际标准。两年多时间,竟然什么都不做,真是尽显铁老大风范

国内CA目前也只有深圳沃通能与国外CA一较高下,

使用国产CA证书能避免被吊销随时无法访问的风险,使用国外证书,如果国外CA服务器出故障,则会导致所签发的证书使用出现问题,用户在访问相应的网站时也会出现提示,导致互联网的瘫痪。
分享到:
评论

相关推荐

    android ssl证书验证

    SSL证书通常由受信任的证书颁发机构(CA)签署,包含了公钥和一些身份信息,如域名、组织名等。当客户端(如Android应用)与服务器建立HTTPS连接时,服务器会发送其SSL证书,客户端会验证这个证书的有效性。 在...

    本地ssl证书生成工具

    - 自签名证书不受公共浏览器信任,因此仅适用于测试环境。 - 证书的有效期需要设置合理,避免过早过期导致连接中断。 - 避免在生产环境中使用自签名证书,因为这可能引发安全警告,影响用户体验。 通过以上步骤...

    SSL证书在线生成系统源码

    通过对接SSL证书API,系统能够快速响应并处理证书请求,确保网站的数据传输安全,为用户提供高效便捷的SSL服务。对于开发者来说,理解这些知识点并熟悉系统的工作流程,将有助于构建或优化自己的SSL证书管理平台。

    kettle中调用restful接口时的SSL信任证书问题

    ### Kettle中调用RESTful接口时的SSL信任证书问题详解 #### 一、背景介绍 Kettle(也称为Pentaho Data Integration, PDI)是一款开源的数据集成工具,广泛应用于数据清洗、转换以及加载(ETL)等场景。在进行ETL...

    java信任SSL证书的工具类

    java信任SSL证书的工具类 忽略HTTPS请求的SSL证书,必须在openConnection之前调用

    windows 2003环境SSL证书安装

    1. 获取证书:首先,你需要从受信任的证书颁发机构(如Verisign、GlobalSign、Comodo等)申请SSL证书。 2. 证书签名请求:在Windows Server 2003上,使用IIS管理工具生成证书签名请求(CSR)。这将包含你的组织信息和...

    可运营的SSL证书在线生成系统源码,附带图文搭建教程

    SSL证书是网络安全领域中的一个重要组成部分,它主要用于加密网站与用户之间的通信,确保数据在传输过程中不被窃取或篡改。本系统源码提供了一种可运营的解决方案,允许用户在线申请并管理SSL证书,无需通过第三方...

    ssl证书生成工具(sha256算法)

    弱哈希算法签名的SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字...

    SSL证书安装.zip

    SSL证书是网络安全领域中的一个重要组成部分,它主要用于加密网络通信,确保数据在传输过程中不被窃取或篡改。本文将详细介绍如何在四种常见的服务器平台上安装SSL证书:Apache、IIS、Nginx和Tomcat。 1. **Apache...

    ssl证书生成图形化工具.zip

    SSL证书是网络安全领域中的一个重要组成部分,它主要用于加密网络通信,确保数据在传输过程中不被窃取或篡改。本文将详细介绍“ssl证书生成图形化工具.zip”中的关键知识点,包括SSL证书、XCA工具、证书生成流程以及...

    自己颁发SSL证书浏览器不识别解决方法.docx

    自己颁发SSL证书浏览器不识别解决方法 【SSL证书的类型】 在了解自己颁发SSL证书浏览器不识别解决方法之前,我们需要了解SSL证书的类型。SSL证书可以分为两种: Domain Validation(DV)和Extended Validation(EV...

    本地生成SSL证书工具CreateCertGUICreateCertGUI

    SSL证书是验证网站身份的关键工具,通常由受信任的证书颁发机构(CA)签发。然而,在本地开发环境中,我们可能需要自签发的SSL证书来测试HTTPS连接,这时就用到了"CreateCertGUI"这样的工具。 "CreateCertGUI"是一...

    JDK生成ssl证书

    2. **安装服务器证书**:双击`server.cer`文件,根据提示安装证书到浏览器的“受信任的根证书颁发机构”。 - 打开浏览器 -> 工具 -> Internet选项 -> 内容 -> 证书。 - 导入`server.cer`文件到“受信任的根证书...

    PHPStudy(小皮)ssl证书批量替换工具

    这个工具专为在Windows服务器上运行PHPStudy的用户设计,旨在简化SSL证书的替换过程,避免逐个站点进行操作的繁琐步骤。 该工具的核心功能包括: 1. **批量替换**:能够一次性处理多个网站的SSL证书更换,显著提高...

    SSL证书生成软件、包括转换证书格式

    SSL证书生成软件、包括转换证书格式

    ZABBIX监控SSL证书过期时间的监控工具-sslooker

    SSL证书是网络安全中不可或缺的一部分,它确保了网络通信的加密和身份验证。然而,SSL证书具有有效期,过期后可能导致安全问题,如浏览器警告、数据传输不安全等。因此,对于系统管理员而言,实时监控SSL证书的过期...

    .net中为 SSL/TLS 安全通道建立信任关系

    在 .NET 中,常见的调试错误是未能为 SSL/TLS 安全通道建立信任关系。这种错误通常是由于客户端无法验证服务器的身份所致。解决这个错误的方法是使用证书或 SSL/TLS 握手协议来建立信任关系。 解决方案 在上面的...

    解决无法将这个证书验证到一个受信任的证书颁发机构方法

    当系统提示"无法将这个证书验证到一个受信任的证书颁发机构"时,这通常意味着系统无法确认数字证书的合法性。这可能是由于多种原因引起的,包括但不限于证书链不完整、证书过期、证书被篡改或系统缺少必要的根证书。...

    K8S主机Prometheus监控ssl证书资源清单及镜像文件

    本文将深入探讨如何利用Prometheus监控K8S主机上的SSL证书资源,并介绍一个名为`prometheus-ssl-exporter`的镜像文件,它有助于提取和暴露SSL证书的相关信息。 首先,理解SSL证书对于K8S的重要性至关重要。SSL...

    ssl.rar_SSL 证书_ssl_ssl证书_证书生成

    SSL证书通常由受信任的证书颁发机构(CA)签署,以确保服务器的身份真实可靠。CA会经过严格的验证过程,确认申请者的身份信息后才会签发证书。如果用户访问的网站没有有效的SSL证书,浏览器通常会显示警告,提示用户...

Global site tag (gtag.js) - Google Analytics