? ? ?在線買火車票為什么要安裝根證書？

發(fā)布于：

2012 年 1 月 8 日
作者：?劉暉

?

?

?

本文想簡單談?wù)勀莻€所謂的“根證書”。在訪問鐵道部網(wǎng)上售票官網(wǎng) www.12306.cn 后，有一個醒目的提示，為保證順暢購票，需要下載安裝根證書。那么什么是根證書？為什么買火車票的時候需要下載和安裝，在淘寶等在線交易網(wǎng)站購物時候為什么就不需要這樣做？

今年開始，人民群眾們終于可以通過互聯(lián)網(wǎng)購買火車票了。雖然說在線買的難度不比以往排隊購買低多少，但這總算是一次值得鼓勵的嘗試。不過在線購票系統(tǒng)一經(jīng)退出，在技術(shù)上就已經(jīng)被人批得體無完膚。

為了確保安全，很多涉及在線交易的網(wǎng)站，例如網(wǎng)上銀行、購物網(wǎng)站等，都會使用SSL技術(shù)對頁面內(nèi)容進行加密。SSL技術(shù)在這里的主要用途有兩個：

• 確保網(wǎng)站服務(wù)器和用戶瀏覽器之間的通訊不被竊聽：這一點很好理解。SSL屬于一種公鑰加密體系，簡單來說，一個SSL證書分為兩部分：公鑰和私鑰。其中私鑰會被網(wǎng)站所有者妥善保管，并在服務(wù)器端用私鑰將網(wǎng)絡(luò)通訊全部加密；而公鑰會在網(wǎng)上廣為傳播，一個公鑰加密后的數(shù)據(jù)只有用所對應(yīng)的私鑰才能解密。因此只要SSL證書本身可以保證安全，那么在訪問網(wǎng)站的時候就可以保證網(wǎng)絡(luò)通訊不被他人所竊取，并且如果有人進行中間人攻擊，因為沒有相應(yīng)的密鑰，導(dǎo)致篡改后的數(shù)據(jù)無法通過校驗，因此可以及時察覺。
• 確保網(wǎng)站所宣稱的身份真實可靠：這一點也不難理解。網(wǎng)上有個網(wǎng)站叫做支付寶，可如何保證這個網(wǎng)站就是那個真正的支付寶，而不是其他人偽造的釣魚網(wǎng)站？因此真正的支付寶可以使用SSL證書，這種針對企業(yè)用的證書的申請手續(xù)比較繁瑣，有一大堆審查流程，需要提交大量相關(guān)的證明文件，因此可以保證只有真正的某公司才能以這個公司的名義申請證書，只要申請到證書，就可以確信身份的可靠。此外近些年還有一種更可靠的EVSSL證書。

試試看訪問“https://www.alipay.com”這個域名，隨后可以看到，在瀏覽器的地址欄，“Http”協(xié)議后面出現(xiàn)了“s”這個字母，并且IE地址欄的右側(cè)顯示了一個鎖頭圖標(biāo)，因此證明該網(wǎng)站是SSL加密的。點擊這個鎖頭圖標(biāo)后，還可以看到網(wǎng)站所用證書的相關(guān)信息。

加密功能基本上沒什么需要解釋的，因此下文的重點將放在身份可靠性這塊。在上圖所示界面上點擊“查看證書”鏈接，隨后可以看到該網(wǎng)站SSL證書的詳情：

?

上圖顯示的“VeriSign Class 3 International Server CA – G3”是證書頒發(fā)機構(gòu)，而“www.alipay.com”是證書持有人。那么到底應(yīng)該怎樣通過這些信息判斷網(wǎng)站是否可靠？

在這里一個很通用的規(guī)則是：如果瀏覽器檢測到加密網(wǎng)站所用的證書是正常的，那么地址欄就會顯示為綠色（使用EVSSL證書）或者白色（使用普通SSL證書），這種情況下可以放心地瀏覽該網(wǎng)站，并提交自己的數(shù)據(jù)；如果瀏覽器檢測到網(wǎng)站的證書有問題，那么地址欄就會顯示為紅色，提醒我們注意，同時取決于具體情況，地址欄右側(cè)會顯示有“證書錯誤”按鈕，而且網(wǎng)站內(nèi)容不會顯示，取而代之的是瀏覽器的警告信息?；旧现髁鳛g覽器的最新版本都已經(jīng)具備這樣的功能。

這個過程的基本原理是：假設(shè)我們信任A公司，而A公司信任B公司，那么我們就可以信任B公司。很明顯，“www.alipay.com”的證書是“VeriSign Class 3 International Server CA – G3”頒發(fā)的，這表示后者信任前者，可以證明前者的真實身份，但是我們又憑什么信任后者這個證書頒發(fā)機構(gòu)？

上述文字里不止一次提到“信任”一詞，那么“信任”在這里是什么意思？是否像我們平時講話時說的“我信任他”那樣，代表我們相信他是個好人，不會干壞事？其實完全不是這樣。這里所說的“信任”，只是說明證書持有人的身份是真實可靠的，至于持有人用這個證書干什么事情，不在“信任”的范疇內(nèi)。例如，網(wǎng)上很多臭名昭著的惡意軟件，現(xiàn)在都帶有數(shù)字證書（倒是很多正規(guī)用途的軟件因為開發(fā)商缺乏安全觀念不帶證書），同時因為這些數(shù)字證書的“根”都是我們信任的根證書頒發(fā)機構(gòu)，因此，操作系統(tǒng)和瀏覽器是信任這些公司的身份的，但并不代表這些公司的軟件不會干壞事。只要肯花錢，任何人都可以在商業(yè)性質(zhì)的證書頒發(fā)機構(gòu)買到直接被我們的系統(tǒng)所信任的證書。

其實Windows和任何操作系統(tǒng)本身就包含一些受信任證書頒發(fā)機構(gòu)的根證書，要查看這些根證書，可以運行“certmgr.msc”打開證書控制臺，然后從控制臺窗口左側(cè)的控制臺樹中依次進入“證書-當(dāng)前用戶”→“受信任的根證書頒發(fā)機構(gòu)”→“證書”，隨后右側(cè)的窗口中會顯示本機預(yù)置的所有根證書頒發(fā)機構(gòu)，其中就有“CA – G3”，這表示我們信任“CA – G3”，而“CA – G3”信任“www.alipay.com”，因此我們可以信任“www.alipay.com”。如果從證書控制臺中刪除“CA – G3”的根證書，表示我們不再信任它，那么它所信任的公司也將不再被我們信任。

按照上文的方法打開證書控制臺，并進入到“不信任的證書”→“證書”節(jié)點后，還會發(fā)現(xiàn)里面列出了多個頒發(fā)給大量知名企業(yè)的證書，例如Microsoft、Google、Skype、Yahoo等。為什么會不信任這些大牌互聯(lián)網(wǎng)企業(yè)？就是因為某家根證書頒發(fā)機構(gòu)被黑客攻破，導(dǎo)致這些大企業(yè)所用的證書私鑰被竊取。因此為了保證安全，這些被盜證書已經(jīng)被吊銷。因而將原本被盜的證書都添加到“不信任的證書”節(jié)點下，這樣盜取證書的黑客就算使用這些證書給病毒簽名，偽裝成這些大企業(yè)，也會因為證書吊銷的緣故不會讓人輕易上當(dāng)。這家倒霉的公司就是荷蘭的DigiNotar，該公司因為這次事件現(xiàn)在已經(jīng)破產(chǎn)，而從中也足以證明證書吊銷機制的重要性。這一點會在下文詳細(xì)介紹。微軟已經(jīng)通過KB 2607712補丁將受影響的證書全部設(shè)置為不信任。

這里要重點提出“根證書”這個概念，全世界具有提供數(shù)字證書業(yè)務(wù)的公司有很多，而Windows自帶的“根證書”很少，默認(rèn)情況下，我們是如何信任這么多不同公司頒發(fā)的不同證書的？其實這就是“根”這個字的含義，因為可以頒發(fā)證書的公司雖然很多，但最基本的根證書頒發(fā)機構(gòu)只有有限的幾個，默認(rèn)情況下都是被操作系統(tǒng)所信任的。那么既然操作系統(tǒng)能信任根證書頒發(fā)機構(gòu)，自然也就可以信任被根證書頒發(fā)機構(gòu)信任的公司，進而可以信任被這些公司所信任的下一級公司。

如何證明這一點？可以單擊上圖中的“查看證書”鏈接，隨后打開“證書”對話框，切換到“證書路徑”選項卡后，可以看到下圖所示界面。從該圖中可以看出，整個證書信任鏈的路徑分為三個層次，最頂層的是我們信任的根證書頒發(fā)機構(gòu)，該機構(gòu)給“International Server CA – G3”頒發(fā)了證書，因此，我們信任“CA-G3”；隨后“CA-G3”又給“www.alipay.com”頒發(fā)了證書，因此也可以信任“www.alipay.com”。如果“www.alipay.com”再給別人頒發(fā)證書，那么這個人的身份依然可以被我們信任。

而鐵道部的在線訂票網(wǎng)站并沒有走這個一般意義上，涉及金融交易的商業(yè)化網(wǎng)站都嚴(yán)格遵守的方法。也就是說，鐵道部并沒有花錢在商業(yè)性質(zhì)的CA（證書頒發(fā)機構(gòu)）購買受信證書，他們直接自己給自己頒發(fā)證書。這樣的做法一般主要是用于測試或?qū)W習(xí)等非正式場合，但如果一個商業(yè)化網(wǎng)站想要正式上線運營，通常并不會這樣做，因為對用戶來說風(fēng)險太大。

當(dāng)我們查看12306.cn 這個網(wǎng)站的證書信息時就會發(fā)現(xiàn)，這個證書根本沒有一個有效的受信任CA，完全是自己給自己發(fā)著玩的。

?

上圖信息顯示，該證書的頒發(fā)者以及根證書是“SRCA”，不知道這個縮寫代表什么意思，可能是鐵道部內(nèi)部的某個系統(tǒng)。因為SRCA的身份不被系統(tǒng)自帶的任何一個根證書所信任，因此12306.cn網(wǎng)站所用的證書默認(rèn)也不會被任何一個系統(tǒng)所信任。因而鐵道部要求安裝根證書的原因，就是讓訪客將這個證書手工添加到“受信任的根證書頒發(fā)機構(gòu)”節(jié)點下。

很遺憾的是，這種做法雖然很不安全，可國內(nèi)的大佬們很喜歡使用。例如在我的系統(tǒng)中，這里就有建行和工行網(wǎng)銀自行添加的根證書。

那么這種做法除了能省幾個錢之外，對用戶來說有什么危害？

在12306.cn訂票的很多人可能會看到過“該站點安全證書的吊銷信息不可用，是否繼續(xù)”這樣的信息。這是什么意思？

還是以上文那個DigiNotar的例子來說，假設(shè)某個大型CA被攻擊，私鑰被竊取，這時候有兩種方法盡量避免損失：

類似Windows補丁這樣，由軟件廠商通過發(fā)布更新的方式，將被盜證書強制設(shè)置為不信任。

使用證書吊銷列表（CRL）。

第一種方式比較好理解，但并不是所有公司都能獲此殊榮。畢竟主流操作系統(tǒng)的用戶數(shù)量龐大，根本不可能針對一個地區(qū)性的，或者規(guī)模很小的公司的被盜證書發(fā)布更新，強制不信任。因此第二種情況就至關(guān)重要了。每個證書中都包含CRL，其實這個可以理解為一個網(wǎng)址，通過這個網(wǎng)址可以獲得證書吊銷的相關(guān)信息。

因此如果一個小公司通過商業(yè)性CA購買的證書被盜了，只要將相關(guān)信息告知CA，這家CA就會將這個證書的內(nèi)容添加到CRL中。隨后任何一個用戶在執(zhí)行涉及到證書的操作，例如安裝帶有數(shù)字簽名的軟件，或者訪問SSL網(wǎng)站的時候，系統(tǒng)都會通過這個CRL地址檢索吊銷清單，并查看當(dāng)前軟件或網(wǎng)站使用的證書是否位于清單中。如果不在，就證明這個證書依然是可信任的；如果在，就證明該證書已經(jīng)被盜，因此軟件或網(wǎng)站存在仿冒的可能。

而因為12306.cn使用了自己給自己頒發(fā)的證書，因此也就根本無法在自己的證書中包含CRL信息，所以會看到“吊銷信息不可用”的提示，這意味著瀏覽器在告訴你，你所訪問的網(wǎng)站，不一定能完全證明其可靠，這可能是真網(wǎng)站，但也有是釣魚網(wǎng)站的可能。

而如果12306.cn的證書私鑰丟失或被盜（看看去年底的大規(guī)模泄密事件，誰敢保證沒有這種可能性），持有該證書的人想要偽造一個釣魚網(wǎng)站，或者以鐵道部的身份發(fā)布惡意軟件，那真是輕而易舉，并且鐵道部對此會束手無策。

畢竟在線購買火車票的人全都安裝了這個根證書，而該證書根本無法通過CRL吊銷。此外還有一個更重要的問題，如果盜取該證書的人繼續(xù)使用“SRCA”的身份給其他人以其他身份頒發(fā)證書，例如以銀行或支付中介的名義，結(jié)果會怎樣？因為所有在線購買過火車票的人，由于根證書的關(guān)系，系統(tǒng)已經(jīng)信任SRCA的根證書，因此這些偽造的證書也會直接被信任。最壞的情況下，所有熱門的SSL加密網(wǎng)站（購物、銀行、股票….）要想被偽造都是輕而易舉的。

什么意思呢？如果某天你訪問的“支付寶”網(wǎng)站的證書信任鏈?zhǔn)窍旅孢@樣，你覺得會是什么后果？

?

真心希望這種情況永遠(yuǎn)不會發(fā)生。同時更加希望國內(nèi)這些大佬們有更多安全意識，盡快認(rèn)識到目前這種做法的不足。商業(yè)受信證書雖然需要花錢買，但不是太貴，真的！

當(dāng)然，上述希望可能永遠(yuǎn)不會成真，因此作為一般用戶，如果你已經(jīng)成功在線購買到火車票（恭喜你啊，你要不要去買個彩票試試手氣），那么建議你在“受信任的根證書頒發(fā)機構(gòu)”節(jié)點下將SRCA的根證書徹底刪除。

本文部分內(nèi)容節(jié)選自我的原創(chuàng)圖書《Windows 7安全指南》。

總結(jié)

以上是生活随笔為你收集整理的安装根证书的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。