今年1月9日,小年夜(1月28日)的火车票开售,12306网站当日点击量高达144亿次。然而,这同时意味着,“IE已阻止该网站内容”“该内容没有签署有效的安全证书”等状况,在这天购票者打开12306时至少出现了上亿次。本来每一年只须要支付数千元就可使用的国际标准网络安全SSL证书,不知何故,始终没能在12306上被使用,而根据《IT时报》记者的调查,12306提供的根证书“SRCA”(中铁CA),是其自行发布的证书,其采用的加密方式在三年半前已被微软认定为“不安全”。截止到发稿,12306并未对记者的提问作出回应。 
记者调查:12306网站为什么“不受信任”? 用户投诉:12306老是被浏览器屏蔽 袁元(化名)近日向《IT时报》微博投诉,用IE、360、火狐等多种浏览器打开12306网站时,总会出现“Internet Explore已阻止此网站显示有安全证书错误的内容”“内容被阻止,由于该内容没有签署有效的安全证书”等提示,“两年前12306刚上线时就发现了这个问题,当时觉得是在测试,没想到这么长时间过去了,这个问题依然存在。” 为何浏览器总会如此提示?12306并无作解释,只在首页上一则“网上购票因为安全警告没法登陆问题说明”的公告中提供了解决方案,“为了保证用户顺利进行网站的使用,请在首页下载根证书,按说明进行导入便可。” 《IT时报》记者实际操做发现,凡是在IE浏览器中点击“购票”“退票”等涉及到支付的页面,都会出现“不受信任”的提示,即便从首页下载安装根证书时,也会出现“网站证书不受信任”的提示,若是选择“信任该网站并强制打开该网页”,在浏览器的地址栏上也会出现红色的底色,提醒用户该网站证书错误。 袁元是一个程序员,在他看来,12306出现这个问题很是“幼稚”,“安全证书至关于网站的身份证,浏览器在登陆网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性,很难想象,12306做为中国惟一的官方铁路售票网站,居然没有一个让人信任的安全证书。” 《IT时报》记者就此问题联系了12306,其客服表示网站能保证安全,用户能够不用担忧那些提示。 黑客解读:没有SSL证书等于“裸奔” 让袁元如此纠结的安全证书到底是什么? “所谓安全证书,就是一般所说的SSL认证,它是一种国际通用的Web安全标准,主要经过对敏感数据加密来防止各类攻击非法读取重要信息,保证数据的完整性和安全性,包括咱们常常遇到的,如数据劫持和钓鱼攻击等,经过SSL,只有受权用户才能读取数据。”曾在世界黑客大赛上得到冠军的上海“KeenTeam”团队主攻手陈良向《IT时报》记者解释,当用户链接到网站时,若是Web站点已经加入SSL证书,服务器将受证书保护,并自动传送网站数字证书给用户,此时用户端的网页浏览器程序就会产生一把惟一的“会话钥匙码”,从而将用户端和网站之间全部的通信过程加密。 陈良做为黑客专家,常常尝试去攻破一些网站和系统,他告诉记者,没有SSL安全证书的网站,一旦被黑客盯上,窃取用户信息是很简单的,由于少了一步破解密码的过程。程序员
证书疑云 国产证书究竟安不安全? 严格意义上说,12306并不是没有SSL证书,它只是没有一个被浏览器承认的证书。 根据12306网站提示,记者下载了其所推荐的“根证书”,从其信息中看,这个名为“SRCA”的证书是由中铁数字证书认证中心发布的根证书,在其介绍中,中铁CA(认证机构)是由工业和信息化部审批经过的合法电子认证服务机构。 不到一成国产CA经过国际标准 据了解,中国目前有34家CA认证机构,都得到了工信部颁发的《电子认证服务许可证》,赛迪智库信息安全研究所所长、中国电子认证服务产业联盟秘书长刘权表示,34家机构都有权颁发企业证书、法人证书、网站SSL证书等,但网站SSL证书比较特殊,并非每家机构所发放的SSL证书都适应客户端环境,这就是为何有的网站会出现该网站证书不受信任的缘由。 要适应全部客户端环境,就要经过国际Webtrust认证,网站才能把根证书放到微软等操做环境中,用户也不会收到提示。但经过该认证的门槛比较高,中国目前只有深圳市沃通电子认证服务有限公司、上海数字认证中心(上海CA)、中国金融认证中心(CFCA)三家企业经过了认证。不过刘权也说明,没通过Webtrust认证并不表示不安全,只要是34家机构颁发的证书,安全性基本上没问题。 Webtrust是由全球两大著名注册会计师协会AICPA(美国注册会计师协会)和CICA(加拿大注册会计师协会)共同制定的安全审计标准,主要对互联网服务商的系统及业务运做逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。只有经过Webtrust国际安全审计认证,根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。 记者了解到,目前,国内外都有颁发通过Webtrust认证的SSL证书的机构,好比国外有威瑞信、Globalsign等,国内有CFCA、上海CA等。对于申请证书的流程,各方机构都表示只要通过提供营业执照、填写申请表等简单的步骤,在机构接受申请后进行审核,材料真实而且网站运营正常的话,只需3天就可拿到证书,基本没技术难度,费用通常是每一年3000-4000元,申请成功以后,就会实现安全通道加密等功能。 微软对1024位加密说“NO” 12306没经过的还有微软这一关。其根证书信息显示,采用的公钥长度是1024位,但《IT时报》记者查看了京东商城、淘宝、苏宁等网站证书发现,其公钥长度均为2048位。理论上,公钥长度越长,加密信息越难被破解。 2010年,被普遍应用于数字证书的1024位RSA非对称密钥算法被认为可能已被破解,美国国家标准技术研究院(NIST )要求2010年12月31日以前中止使用1024位RSA算法,微软则通知全球全部受信任的根证书颁发机构(CA),必须尽快从1024位的根证书向2048位迁移,并于2010年12月31日把全部1024位根证书从受信任根证书中删除。陈良表示,或许正基于此,1024位的12306根证书被IE浏览器默认为不被信任。算法
延伸阅读 SSL认证非强制 全靠网站自觉 石先生本欲从淘宝网购一批iPod,可货没到手,支付宝帐户里近2万元的货款却不知去向,缘由是上了一个假淘宝网页,这是最近发生的一个真实案例。 4月29日,北京市政府宣布此日为“首都网络安全日”,在多元化的网络时代,安全备受重视,却又彷佛最被忽视。人们老是被一波又一波的信息泄露事件搞得风声鹤唳,却老是搞不清,究竟怎样才能算是登陆一个安全的网站。 对于网站访问者而言,有不少办法来判断网站的真伪,好比不要点击搜索的连接,直接输入网址等等,但要求全部上网者都有如此敏锐的判断力彷佛难度太高,SSL安全证书是网站方提供的最简单的辨识方法。 上海CA工做人员龚小姐告诉记者,SSL网站安全证书的功能不只于此,“CA做为第三方认证机构,会记录下网站的每一步操做记录,若是使用了合法CA的认证服务,根据《电子签名法》,举证的责任由合法CA完成。”龚小姐说,对于一些专业性要求较高的垂直网站,如医疗类、金融类等网站,若是在运营过程当中出现违规操做现象,查实后,证书会有被吊销的可能。 近年来,随着网站的大规模增加以及钓鱼网站的大肆横行,中国政府部门愈来愈重视网站信息安全。早在2012年,中国政府就开始试点对全部省市级的政府门户网站进行网站安全认证。 记者登陆了一些经常使用的购物网站,在美团网上,记者选择了上海杨浦区某KTV店销售的代金券,点击购买、付款,渠道畅通,没有出现“无安全证书”的字眼。随后,记者又登陆了凡客诚品,选择男装的一款卫衣,加入购物车,并顺利付款。此外,在京东、1号店等记者也均未发现问题。 随后,记者又登陆了中华人民共和国中央人民政府门户网站,以及广东、河南、北京、上海、江苏、浙江、武汉、天津、贵州、广州、惠州、无锡等省市政府门户网站,一一点开“新闻”“专题”“政策”“服务”等栏目,均未发现“无安全证书”的现象。 龚小姐告诉记者,目前不少大中型企业、网站,尤为是金融、证券、购物等网站对安全比较重视,但小企业对此重视度不够。就上海CA而言,每月的申请认证量不是很高,“咱们如今每月申请网站安全认证的企业在几十家左右。”更为关键的缘由是,对网站安全认证并非一条强制性的规定,全靠网站自觉。浏览器
记者手记 上“不被信任的网站”怕什么? 在写这篇稿件的时候,记者脑子里常常浮现出第一次在12306上买票时的情景:当浏览器跳出“不安全”提示时,记者第一反应是上了假网站,但又没找到其它网站,胆颤心惊中完成了整个购票过程。在随后的几回购票中,12306都出现这个提醒,如今也彷佛习觉得常了,甚至当其它网站出现相似提醒时,也都视而不见。 可现在转念一想,这样的后果会是什么?首先,用户会对这个网站的合法性产生怀疑,网站很难得到用户的信任;其次,钓鱼网站很容易模仿,由于真网站、假网站都会报证书错误,用户根本分辨不出来;最后,若是信息传输过程没有加密或者加密手段不够高明,很容易被黑客中途截获并泄露。 既然有这么多可能的后果,12306为什么不及早解除购票者的后顾之忧呢?解决方法有二:出资购买符合国际标准的SSL证书,一年三四千元应该不贵吧;或者提高本身证书的实力,达到国际标准。两年多时间,居然什么都不作,真是尽显“铁老大”风范。安全