刚看高铁动车票价的帖子,好奇想去看看广州到深圳的动车和高铁票价差距

结果发现这12306的登录界面搞了几年还在提示证书不受信,怎么这么大个系统连个证书都搞不定,不太可能啊

于是点开证书看了看详情,颁发机构是个什么SRCA,网上一查喷了,这个机构就是铁道部自己的证书颁发机构,等于自己给自己颁发证书以证明自己的身份

http://www.sinorail.com/ProductInfos.aspx?id=185

这产品介绍页面联系方式,价格,产品列表什么都没有,目前只给12306.cn颁发了这么一张证书,连自己的官网sinorail都没颁发

然后12306还舔着脸在首页说为了客户的安全,请安装我们的根证书

我只能说牛逼极了...



总结来说,就是你和人做生意,人家拿张不知道哪捡来的格式都不正确的身份证给你看,你一看这不对劲啊,假身份证吧?

对方马上说,这是真的,请相信我!!!为了客户的安全,我们公司员工的身份证都是公司自己做的!!!

[本帖最后由 Tobar 于 2016-12-23 12:28 编辑]

骗骗外行足够了

有什么实际上问题吗？

这个问题我记得果壳还是哪个网站爆过，国内不止一家.....而且细思恐极

总结来说,就是你和人做生意,人家拿张不知道哪捡来的格式都不正确的身份证给你看,你一看这不对劲啊,假身份证吧?

对方马上说,这是真的,请相信我!!!为了客户的安全,我们公司员工的身份证都是公司自己做的!!!



你要是信了,以后人家拿张身份证说自己大曲安你都得相信!

自建CA证书是正常的啊，有时候用户体验糟点就是了。

意思是在12306上买票会被骗？

其实把，按国内的办事规则，还是自己给自己发证书好。搞个第三方机构既做不到公正，还容易让其他人钻漏洞。。。

然而…………身为一个国家垄断行业他用自己的CA有什么问题嘛………………

铁道总公司自己的证书有啥问题 本身就比很多证书颁发公司靠谱了

那完蛋了，几亿买票的都要被坑死了。

意思就是说，别人可以经营证书颁布业务，唯独铁总开的公司不准？有法律法规条文明确禁止么？
如果经营行为有违规，那和别的公司一样处理，但不能从源头上禁止别人法律没有明文禁止的事。

12306的手机端app可以说是我用过的最差的app，没有之一，各种无响应，无画面，联系人凭空消失，付款闪退，真是醉了，外包给死大做的吧？

可以百度一下中间人攻击

我觉得没问题，不过使用体验确实差了点这个才该喷

还真是，百度一下app封面那个中铁程，然后再顺藤摸瓜。。。

比这个严重多了

Posted by: Meizu PRO 5
可以经营啊，证书颁发机构那么多，不都是各自经营的嘛

但你要经营这个业务，就得按照这个业务的规则玩吧？

你觉得自己确实有能力有信誉，那就去找各个操作系统浏览器厂商谈，告诉他们你是可信的，让他们把你的根证书集成到操作系统或者浏览器里面嘛，既然微软谷歌苹果这些大厂都信任你，普通用户也就默认信任你了

其他证书机构都是这么玩的，凭啥你就简单粗暴的直接跟用户说，请信任我安装我的根证书吧！

前些年cnnic搞证书，虽然也是一片反驳之声，但人家好歹也是走正规流程玩的啊，不像铁道部这么简单粗暴

不是外包给淘宝了么

只是最近增加支付宝支付的合作。

很多人根本不了解目前证书机构和认证流程了吧...
自己签发证书在内部领域使用确实没问题,本身就是加密用,内部协商加密访问这没啥问题,尤其是一些物理隔绝的内部网络上,也只能自己签发,不然证书更新是很麻烦的

但是在公网上,自签发证书仅仅是能起到服务器-客户端之间的加密,完全不可以让客户端认证服务器是否真实
认证完全靠用户自己的安全意识
例如手抖网址输成12360,并且这是一个高仿网站
因为真身12306也是自签证书,用户完全不会意识到有什么问题,依然会接受12360的证书
然后就会把账号密码什么都输入(假设高仿的足够完善,并且用户还没意识到问题),这就完美实现了盗取用户资料和金钱

没遇到过

少见多怪，石油，通讯，电力，天然气等等，都有自己的检测机构，标准还很高。你以为他们会去什么地方检测？

CRAS铁科院正是干这个工作的机构

关键还是懒得或者不舍得每年交钱
你用户犯错了它也不需要负责，反正你还是要找它买票

[本帖最后由 yaoyuef 于 2016-12-23 12:44 编辑]

自签名是有风险，但是我记得12306是有提示导入CA证书的吧。导入以后还有什么问题，除非你从一开始就访问的是仿冒网站。
导入CA以后就可以正常使用了，另外某楼层说的CA可以认证任意网站的真伪，这不就是CA的作用吗？铁道部自己的CA就不算CA了？

我觉得没啥问题...12306这个证书就是自己给自己网站加了层密,全国就这一个网站卖票用HTTP也一样你爱来不来呗

就算你绝对相信12306不会干坏事，你还得确信他的产品没有任何漏洞，不可能被黑客利用，不然这个根证书就是植入你系统的一个巨大的后门。
这也有洗地的，真是服了...

浏览器厂一共就五家，国内一家都没有，对于处于铁路客运绝对垄断的铁总来说，就是处在有能力不屌你规则，不给你打工的地位。
广义上的信息技术行业国内都普遍在另起炉灶建立标准系统，打破国外技术垄断，争取建立自己的技术垄断，至少自己的一亩三分地里用自己的东西不给你白交钱。说实话现阶段各种产品和国际先进水平比都比较烂，但市场有一定的认可。
上面说的问题就是需要用户手动把铁总这个不受信任的颁发机构的证书安装到本地，用户存在不能分辨网站是否山寨的风险而为了买票不得不添加到受信任的颁发机构。
我觉得铁总买证书这个风险也是存在的，山寨网站继续发布山寨网站的证书，做的像一样有人要会安装。能明白证书是什么的人一眼就能看出网站感觉不对，不明白的人只会点下一步。
总体来说靠行政力量另起炉灶会让鹅买单，AVS+也是这样北斗也是这样，但事情还是要做，市场最终选择花钱给H.265还是给广科院买AVS+，日子久了会有结论的。

喷了根证书是个巨大后门…………您不在这行里干就别瞎掰好吗。

不论证书真的假的， 票必须我这里买——12306，就是这么自信

就是铁道部认证的网站呗，
用铁道部发的证书，
很正常啊。

大惊小怪了，大型垄断集团都有自己的科学研究院，水平还是可以的，而且涉及到人财物的重要信息系统每年网安大队还要做评估，你要说一点漏洞没有，也不可能，但是安全性还是值得信赖

关键是那个验证图片，让点击蜜蜂，下面两排图片中好几个蜜蜂，正在惊讶怎么会好几个？到底点哪一个？分辨哪几个是苍蝇需要被排除的时候，票没了…

后来才知道，nm可以多选…

不清楚危害的可以看一下这篇：12306的证书问题

摘要：

铁道部又不是专门搞证书的，为啥要搞这么麻烦？
理论上自己搞一样安全，ssl又没多高深。
你能帮铁道部部出CA证书钱，铁道部都不会愿意，安全还是自己可控，包括未来国产OS

俗称抓包，你当时随便能抓的

你可以去工信部投诉 也可以去纪委举报

22楼说到点了，不过为啥不能加祭扫

这个还真没几个人看

看着就是不想交费用给颁发机构的所以做自签名

不过我记得这费用每年也没多少钱

当然了自签名加密是没啥问题的

其实到第一步就完了，你本身都走SS加密出去了，墙才管不着你咧。

正常，你匪管你去死

整个互联网就类似于一个可自由开设摊位（网站）的市场，里面存在各种黑店。
正常的商铺，可以去市场的管理方做个登记（证书）。
黑店可能会将自己伪装成正常商铺一模一样（高仿网站）、也可能偷偷改动路上的指路牌（路由表）等，来骗取用户的信任。
由于市场过于复杂庞大，当你去市场闲逛的时候，会有一个导游（各大操作系统、浏览器）带你逛，这些导游手上有管理方给的登记，让你避开黑店。
当一个黑店出示假登记证明时，导游会告诉，登记不符合，不要进去。当然你艺高人胆大，可以对导游说这个商铺（12306）你认识，信得过。此时你可能走到了一个高仿的商铺（比如123O6.cn），可能的确输入的是正确的店铺名字（12306.cn）,但是指路牌将你引导到了错误的店铺。

以上是自颁发证书的危害性，但是12306又不能不用，注意两点差不多就不会有问题了：第一，不要输错网址，这个估计绝大多数人都能做到；第二，不要在陌生的网络环境（网吧、小餐饮的wifi等）购买，因为随便在路由器里面搞点什么，就能让12306.cn指向高仿钓鱼网站。

这上面的东西都可以自己瞎比填的