安全：为什么我们必须停止信任12306根证书

提示：本文较长，完整阅读预计需要  5~8 分钟。

相信大家应该都通过中国铁路总公司旗下的火车票在线购票网站12306 以及其客户端应用程序购买过火车票。

当我们在访问12306 网站时可以在首页看到要求下载根证书，然后需要按照指南将根证书添加到系统信任区。

如果不下载根证书会怎么样:那么你在访问购票页面时浏览器会发出证书错误提示并直接阻止掉页面继续加载。

为什么会被浏览器阻止加载：

为避免遭到中间人攻击提高安全性因此很多网站开始部署HTTPS连接，使用加密连接可以避免出现数据泄露。

为了保证安全各个系统都已经存储公开可信的根证书， 而网站和服务器使用的证书则由这些根证书进行信任。

如果证书并不是由公开可信的拥有根证书的颁发机构签发的， 那么这些证书在系统以及浏览器上会被拦截掉 。

而12306网站所使用的证书是由名为 SRCA 的机构签发 ，这个根证书的签发机构实际就是中铁信息工程集团。

如果你查看证书细节就会发现系统提示此 CA 根目录证书不受信任 ， 没错这压根就是个自己生成的三无证书 。

为什么12306要求你添加信任SRCA根证书：

既然证书是自己生成的其他浏览器和操作系统自然不会信任，那么为了信任只能让用户手动添加到信任区域。

当添加过后再次访问12306网站那么这个由 SRCA 签发的证书才被信任，于是你就可以正常的打开12306了。

信任SRCA根证书有何意义：

本质上这样做没有任何意义，对于12306网站来说使用这个自签名数字证书确实可以避免用户数据出现泄漏。

如果有人试图伪造12306网站证书进行中间人攻击，即使在信任 SRCA 根证书的情况下也会遭到浏览器拦截。

看起来像是个不错的安全措施？但千万别忘了 SRCA 根证书以及12306所使用的证书都是其自己直接生成的。

信任SRCA根证书危害在哪里？

中铁信息工程集团本身是未经审计的证书签发机构，同时也没有 PKI 基础设施对证书进行管理或者吊销操作 。

如果 SRCA 根证书出现安全问题例如泄露了私钥那么中铁信息工程集团也没有办法及时吊销证书来防止伪造。

如果 SRCA 根证书私钥泄露那么攻击者不但可伪造12306证书进行劫持，同时还可以伪造任意网站进行劫持 。

例如攻击者可以伪造支付宝网站或者网银证书并制作钓鱼网站， 这样你访问钓鱼网站的时候浏览器不会拦截。

然后在你输入支付宝账号密码以及支付密码点击提交的时候， 攻击者在服务器上即可获得你的所有关键信息。

为12306购票网站的安全而把其他所有网站安全都直接抛之不顾， 显然这样做既不会安全也是非常不值得的 。

正如前面所说大家购票时基本都按照要求信任了 SRCA 根证书，而证书泄露了也没法通过基础设施进行吊销。

因此这个时候即使中铁信息工程集团想要补救都是没办法的， 因为不可能将删除证书的消息通知到所有用户。

防范于未然：与其明知是个巨大的安全风险还在用不如早早行动，删除对 SRCA 根证书的信任确保财务安全 。

删除对SRCA根证书的信任有何影响：

删除 SRCA 根证书最大危害无非是假如出现中间人攻击那么你的12306网站账号和密码可能会出现泄漏问题。

同时在你浏览器访问12306网站时会被拦截需要进一步操作， 也就是点击浏览器高级选项里的继续访问按钮。

除此之外基本对你的日常购票操作没有什么影响， 至少12306网站付款时还是要进入支付宝等其他网站支付。

因此这对你的财务账号来说也不会造成任何安全问题，所以删除对 SRCA 根证书的信任是非常有必要的操作。

12306会缺钱买个正规数字证书？

很多网友在访问12306出现证书问题时可能都会想到这么大个公司难道没有几千块钱买个正规的数字证书么？

当然不是：例如下图12306网站的子域名 epay.12306.cn 早在2016年时直接购买3年期的赛门铁克数字证书。

对于为什么12306的购票页面没有购买和部署正规HTTPS 数字证书我们只能猜测是技术问题而不是资金问题。

不过不管如何如果你添加了对 SRCA 根证书的信任，那么赶紧去证书管理系统里面删除对这个证书的信任吧。

如何删除已经信任的SRCA根证书： （ 如果你之前从未导入那么不需操作 ）

Windows系统：

1、开始菜单或者Cortana搜索certmgr.msc或者在点开运行然后输入certmgr.msc回车均可打开证书管理；

2、点击左侧的受信任根证书颁发机构 — 证书 — 然后找到这个名为SRCA的根证书点右键选择删除按钮：

Mozilla Firefox 浏览器：

Mozilla Firefox 浏览器内置独立的证书管理系统，如果你使用该浏览器那么需要到浏览器的证书管理器操作：