今年1月9日,小年夜(1月28日)的火車票開售,12306網站當日點擊量高達144億次。然而,這同時意味着,「IE已阻止該網站內容」「該內容沒有簽署有效的安全證書」等狀況,在這天購票者打開12306時至少出現了上億次。本來每一年只須要支付數千元就可使用的國際標準網絡安全SSL證書,不知何故,始終沒能在12306上被使用,而根據《IT時報》記者的調查,12306提供的根證書「SRCA」(中鐵CA),是其自行發佈的證書,其採用的加密方式在三年半前已被微軟認定爲「不安全」。截止到發稿,12306並未對記者的提問作出迴應。 
記者調查:12306網站爲什麼「不受信任」? 用戶投訴:12306老是被瀏覽器屏蔽 袁元(化名)近日向《IT時報》微博投訴,用IE、360、火狐等多種瀏覽器打開12306網站時,總會出現「Internet Explore已阻止此網站顯示有安全證書錯誤的內容」「內容被阻止,由於該內容沒有簽署有效的安全證書」等提示,「兩年前12306剛上線時就發現了這個問題,當時覺得是在測試,沒想到這麼長時間過去了,這個問題依然存在。」 爲何瀏覽器總會如此提示?12306並無作解釋,只在首頁上一則「網上購票因爲安全警告沒法登陸問題說明」的公告中提供瞭解決方案,「爲了保證用戶順利進行網站的使用,請在首頁下載根證書,按說明進行導入便可。」 《IT時報》記者實際操做發現,凡是在IE瀏覽器中點擊「購票」「退票」等涉及到支付的頁面,都會出現「不受信任」的提示,即便從首頁下載安裝根證書時,也會出現「網站證書不受信任」的提示,若是選擇「信任該網站並強制打開該網頁」,在瀏覽器的地址欄上也會出現紅色的底色,提醒用戶該網站證書錯誤。 袁元是一個程序員,在他看來,12306出現這個問題很是「幼稚」,「安全證書至關於網站的身份證,瀏覽器在登陸網站時會根據證書中提供的信息,逐級驗證證書的真僞,以保證證書的真實性和網站的真實性,很難想象,12306做爲中國惟一的官方鐵路售票網站,居然沒有一個讓人信任的安全證書。」 《IT時報》記者就此問題聯繫了12306,其客服表示網站能保證安全,用戶能夠不用擔憂那些提示。 黑客解讀:沒有SSL證書等於「裸奔」 讓袁元如此糾結的安全證書到底是什麼? 「所謂安全證書,就是一般所說的SSL認證,它是一種國際通用的Web安全標準,主要經過對敏感數據加密來防止各類攻擊非法讀取重要信息,保證數據的完整性和安全性,包括咱們常常遇到的,如數據劫持和釣魚攻擊等,經過SSL,只有受權用戶才能讀取數據。」曾在世界黑客大賽上得到冠軍的上海「KeenTeam」團隊主攻手陳良向《IT時報》記者解釋,當用戶鏈接到網站時,若是Web站點已經加入SSL證書,服務器將受證書保護,並自動傳送網站數字證書給用戶,此時用戶端的網頁瀏覽器程序就會產生一把惟一的「會話鑰匙碼」,從而將用戶端和網站之間全部的通信過程加密。 陳良做爲黑客專家,常常嘗試去攻破一些網站和系統,他告訴記者,沒有SSL安全證書的網站,一旦被黑客盯上,竊取用戶信息是很簡單的,由於少了一步破解密碼的過程。程序員
證書疑雲 國產證書究竟安不安全? 嚴格意義上說,12306並不是沒有SSL證書,它只是沒有一個被瀏覽器承認的證書。 根據12306網站提示,記者下載了其所推薦的「根證書」,從其信息中看,這個名爲「SRCA」的證書是由中鐵數字證書認證中心發佈的根證書,在其介紹中,中鐵CA(認證機構)是由工業和信息化部審批經過的合法電子認證服務機構。 不到一成國產CA經過國際標準 據瞭解,中國目前有34家CA認證機構,都得到了工信部頒發的《電子認證服務許可證》,賽迪智庫信息安全研究所所長、中國電子認證服務產業聯盟祕書長劉權表示,34家機構都有權頒發企業證書、法人證書、網站SSL證書等,但網站SSL證書比較特殊,並非每家機構所發放的SSL證書都適應客戶端環境,這就是爲何有的網站會出現該網站證書不受信任的緣由。 要適應全部客戶端環境,就要經過國際Webtrust認證,網站才能把根證書放到微軟等操做環境中,用戶也不會收到提示。但經過該認證的門檻比較高,中國目前只有深圳市沃通電子認證服務有限公司、上海數字認證中心(上海CA)、中國金融認證中心(CFCA)三家企業經過了認證。不過劉權也說明,沒通過Webtrust認證並不表示不安全,只要是34家機構頒發的證書,安全性基本上沒問題。 Webtrust是由全球兩大著名註冊會計師協會AICPA(美國註冊會計師協會)和CICA(加拿大註冊會計師協會)共同制定的安全審計標準,主要對互聯網服務商的系統及業務運做邏輯安全性、保密性等共計七項內容進行近乎嚴苛的審查和鑑證。只有經過Webtrust國際安全審計認證,根證書才能預裝到主流的瀏覽器而成爲一個全球可信的認證機構。 記者瞭解到,目前,國內外都有頒發通過Webtrust認證的SSL證書的機構,好比國外有威瑞信、Globalsign等,國內有CFCA、上海CA等。對於申請證書的流程,各方機構都表示只要通過提供營業執照、填寫申請表等簡單的步驟,在機構接受申請後進行審覈,材料真實而且網站運營正常的話,只需3天就可拿到證書,基本沒技術難度,費用通常是每一年3000-4000元,申請成功以後,就會實現安全通道加密等功能。 微軟對1024位加密說「NO」 12306沒經過的還有微軟這一關。其根證書信息顯示,採用的公鑰長度是1024位,但《IT時報》記者查看了京東商城、淘寶、蘇寧等網站證書發現,其公鑰長度均爲2048位。理論上,公鑰長度越長,加密信息越難被破解。 2010年,被普遍應用於數字證書的1024位RSA非對稱密鑰算法被認爲可能已被破解,美國國家標準技術研究院(NIST )要求2010年12月31日以前中止使用1024位RSA算法,微軟則通知全球全部受信任的根證書頒發機構(CA),必須儘快從1024位的根證書向2048位遷移,並於2010年12月31日把全部1024位根證書從受信任根證書中刪除。陳良表示,或許正基於此,1024位的12306根證書被IE瀏覽器默認爲不被信任。算法
延伸閱讀 SSL認證非強制 全靠網站自覺 石先生本欲從淘寶網購一批iPod,可貨沒到手,支付寶帳戶裏近2萬元的貨款卻不知去向,緣由是上了一個假淘寶網頁,這是最近發生的一個真實案例。 4月29日,北京市政府宣佈此日爲「首都網絡安全日」,在多元化的網絡時代,安全備受重視,卻又彷佛最被忽視。人們老是被一波又一波的信息泄露事件搞得風聲鶴唳,卻老是搞不清,究竟怎樣才能算是登陸一個安全的網站。 對於網站訪問者而言,有不少辦法來判斷網站的真僞,好比不要點擊搜索的連接,直接輸入網址等等,但要求全部上網者都有如此敏銳的判斷力彷佛難度太高,SSL安全證書是網站方提供的最簡單的辨識方法。 上海CA工做人員龔小姐告訴記者,SSL網站安全證書的功能不只於此,「CA做爲第三方認證機構,會記錄下網站的每一步操做記錄,若是使用了合法CA的認證服務,根據《電子簽名法》,舉證的責任由合法CA完成。」龔小姐說,對於一些專業性要求較高的垂直網站,如醫療類、金融類等網站,若是在運營過程當中出現違規操做現象,查實後,證書會有被吊銷的可能。 近年來,隨着網站的大規模增加以及釣魚網站的大肆橫行,中國政府部門愈來愈重視網站信息安全。早在2012年,中國政府就開始試點對全部省市級的政府門戶網站進行網站安全認證。 記者登陸了一些經常使用的購物網站,在美團網上,記者選擇了上海楊浦區某KTV店銷售的代金券,點擊購買、付款,渠道暢通,沒有出現「無安全證書」的字眼。隨後,記者又登陸了凡客誠品,選擇男裝的一款衛衣,加入購物車,並順利付款。此外,在京東、1號店等記者也均未發現問題。 隨後,記者又登陸了中華人民共和國中央人民政府門戶網站,以及廣東、河南、北京、上海、江蘇、浙江、武漢、天津、貴州、廣州、惠州、無錫等省市政府門戶網站,一一點開「新聞」「專題」「政策」「服務」等欄目,均未發現「無安全證書」的現象。 龔小姐告訴記者,目前不少大中型企業、網站,尤爲是金融、證券、購物等網站對安全比較重視,但小企業對此重視度不夠。就上海CA而言,每月的申請認證量不是很高,「咱們如今每月申請網站安全認證的企業在幾十家左右。」更爲關鍵的緣由是,對網站安全認證並非一條強制性的規定,全靠網站自覺。瀏覽器
記者手記 上「不被信任的網站」怕什麼? 在寫這篇稿件的時候,記者腦子裏常常浮現出第一次在12306上買票時的情景:當瀏覽器跳出「不安全」提示時,記者第一反應是上了假網站,但又沒找到其它網站,膽顫心驚中完成了整個購票過程。在隨後的幾回購票中,12306都出現這個提醒,如今也彷佛習覺得常了,甚至當其它網站出現相似提醒時,也都視而不見。 可現在轉念一想,這樣的後果會是什麼?首先,用戶會對這個網站的合法性產生懷疑,網站很難得到用戶的信任;其次,釣魚網站很容易模仿,由於真網站、假網站都會報證書錯誤,用戶根本分辨不出來;最後,若是信息傳輸過程沒有加密或者加密手段不夠高明,很容易被黑客中途截獲並泄露。 既然有這麼多可能的後果,12306爲什麼不及早解除購票者的後顧之憂呢?解決方法有二:出資購買符合國際標準的SSL證書,一年三四千元應該不貴吧;或者提高本身證書的實力,達到國際標準。兩年多時間,居然什麼都不作,真是盡顯「鐵老大」風範。安全