󰅡收起

Yu1u Security Club

08
九月

12306铁老大真的买不起安全证书吗

作者: 雨路
分类: 黑客学院
发布时间: 2016-09-08 10:07

相信只要是从12306买过火车票的朋友,一定会碰到关于浏览器安全证书的问题。今天就着关于网络安全,HTTPS全加密的话题,咱们来聊聊关于12306网站证书的点点事儿~

由于互联网环境的日益复杂和恶化,大概从前些年开始,国内互联网超级巨无霸,BAT(百度、阿里、腾讯)相继开始启用全站HTTPS加密通道,也就是你上百度、淘宝时浏览器地址栏显示的绿锁标志。

作为掌握着全国几亿人个人信息的铁老大12306也不例外,唯一有些另类的是12306的HTTPS证书不受系统信任!这就很尴尬。。。

有人说12306不想花钱,买不起安全证书?真的买不起吗?人家多卖几张高铁票分分钟资金回笼,整个售票系统软硬件几千万、上亿都花得起,真的不差一份证书的钱~

还有人说12306自己想当CA(证书颁发机构),这样就可以达到某些xxx的目的…… 阴谋论,永不绝耳,信了你就真的认真了…

其实很多人购票时并没有注意,当你提交订单支付时,人家是有正规的收费安全证书的,比如这个二级域名下的页面 https://epay.12306.cn/ 。而且是 Symantec 的证书,据说很贵。不过最贵审核最严格的当属 VeriSign 家的证书了,比如百度用的就是,有钱任性~

在菲菲君看来,12306铁路售票网站之所以用的自签名证书(自己签发的证书默认肯定不会受系统信任),是为了全国数亿网络购票公民的个人隐私信息安全

整懵了?怎么理解,试想,证书颁发机构绝大多数都是国外的公司(国内基本都是代理),如果买国外的CA证书,这相当于将自家的钥匙交给了一个外人,你觉得作为掌握着数亿人个人信息的12306会这么做么?这就是涉及到上升到了国家安全的角度。当然不能买!

对了,顺便提一下,如果你在12306遇到“证书不受信任”错误,不想或干脆不会安装证书,只要点一下“仍然继续”或者“是”就可以临时忽略错误提示,但一定要小心进错钓鱼网站!

不过这个操作只能适用于12306网站,如果是上其他网站(比如百度、淘宝、腾讯等等)遇到证书错误提示,那可千万不能点“继续”,那可真的有可能遭到HTTPS级别的劫持了。没错,HTTPS照样可以实现中间人劫持攻击,这个世界上没有绝对的安全!

也正因为如此,如果经常在12306买火车票的话,安全起见,还是安装一下铁道部的官方根证书为妙,因为12306也有可能被假证书“中间人”恶意劫持~ 只要第一次安装好了以后就省事儿省心多了。

转载自菲菲博客:http://www.feifeiboke.com/anquan/3628.html

本文出自 Yu1u Security Club ,转载时请注明出处及相应链接。

本文永久链接: https://www.yu1u.org/post/248.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注