12306，我该不该相信你

原本每年只需要支付数千元就可以使用的国际标准网络安全SSL证书，不知何故，始终没能在12306上被使用，而根据《IT时报》记者的调查，12306提供的根证书“SRCA”（中铁CA），是其自行发布的证书，其采用的加密方式在三年半前已被微软认定为“不安全”。截止到发稿，12306并未对记者的提问做出回应。

12306网站为何“不受信任”？

用户投诉：12306总是被浏览器屏蔽

袁元（化名）近日向《IT时报》微博投诉，用IE、360、火狐等多种浏览器打开12306网站时，总会出现“Internet Explore已阻止此网站显示有安全证书错误的内容”“内容被阻止，因为该内容没有签署有效的安全证书”等提示，“两年前12306刚上线时就发现了这个问题，当时以为是在测试，没想到这么长时间过去了，这个问题依然存在。”

为什么浏览器总会如此提示？12306并没有做解释，只在首页上一则“网上购票由于安全警告无法登录问题说明”的公告中提供了解决方案，“为了保证用户顺利进行网站的使用，请在首页下载根证书，按说明进行导入即可。”

《IT时报》记者实际操作发现，凡是在IE浏览器中点击“购票”“退票”等涉及到支付的页面，都会出现“不受信任”的提示，即使从首页下载安装根证书时，也会出现“网站证书不受信任”的提示，如果选择“信任该网站并强制打开该网页”，在浏览器的地址栏上也会出现红色的底色，提醒用户该网站证书错误。

袁元是一个程序员，在他看来，12306出现这个问题非常“幼稚”，“安全证书相当于网站的身份证，浏览器在登录网站时会根据证书中提供的信息，逐级验证证书的真伪，以保证证书的真实性和网站的真实性，很难想象，12306作为中国唯一的官方铁路售票网站，竟然没有一个让人信任的安全证书。”

《IT时报》记者就此问题联系了12306，其客服表示网站能保证安全，用户可以不用担心那些提示。

黑客解读：没有SSL证书等于“裸奔”

让袁元如此纠结的安全证书究竟是什么？

“所谓安全证书，就是通常所说的SSL认证，它是一种国际通用的Web安全标准，主要通过对敏感数据加密来防止各种攻击非法读取重要信息，保证数据的完整性和安全性，包括我们经常遇到的，如数据劫持和钓鱼攻击等，通过SSL，只有授权用户才能读取数据。”曾在世界黑客大赛上获得冠军的上海“KeenTeam”团队主攻手陈良向《IT时报》记者解释，当用户连接到网站时，如果Web站点已经加入SSL证书，服务器将受证书保护，并自动传送网站数字证书给用户，此时用户端的网页浏览器程序就会产生一把唯一的“会话钥匙码”，从而将用户端和网站之间所有的通讯过程加密。

陈良作为黑客专家，经常尝试去攻破一些网站和系统，他告诉记者，没有SSL安全证书的网站，一旦被黑客盯上，窃取用户信息是很简单的，因为少了一步破解密码的过程。

国产证书究竟安不安全？

严格意义上说，12306并非没有SSL证书，它只是没有一个被浏览器认可的证书。

根据12306网站提示，记者下载了其所推荐的“根证书”，从其信息中看，这个名为“SRCA”的证书是由中铁数字证书认证中心发布的根证书，在其介绍中，中铁CA(认证机构)是由工业和信息化部审批通过的合法电子认证服务机构。

不到一成国产CA通过国际标准

据了解，中国目前有34家CA认证机构，都获得了工信部颁发的《电子认证服务许可证》，赛迪智库信息安全研究所所长、中国电子认证服务产业联盟秘书长刘权表 示，34家机构都有权颁发企业证书、法人证书、网站SSL证书等，但网站SSL证书比较特殊，并不是每家机构所发放的SSL证书都适应客户端环境，这就是 为什么有的网站会出现该网站证书不受信任的原因。

要适应所有客户端环境，就要通过国际Webtrust认证，网站才能把根证书放到微软等操 作环境中，用户也不会收到提示。但通过该认证的门槛比较高，中国目前只有深圳市沃通电子认证服务有限公司、上海数字认证中心（上海CA）、中国金融认证中 心（CFCA）三家企业通过了认证。不过刘权也说明，没经过Webtrust认证并不表示不安全，只要是34家机构颁发的证书，安全性基本上没问题。

Webtrust是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统 及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。只有通过Webtrust国际安全审计认证，根证书才能预装到主流的浏览器而成为 一个全球可信的认证机构。

记者了解到，目前，国内外都有颁发经过Webtrust认证的SSL证书的机构，比如国外有威瑞信、 Globalsign等，国内有CFCA、上海CA等。对于申请证书的流程，各方机构都表示只要经过提供营业执照、填写申请表等简单的步骤，在机构接受申请后进行审核，材料真实并且网站运营正常的话，只需3天就可拿到证书，基本没技术难度，费用一般是每年3000-4000元，申请成功之后，就会实现安全通道加密等功能。

微软对1024位加密说“NO”

12306没通过的还有微软这一关。其根证书信息显示，采用的公钥长度是1024位，但《IT时报》记者查看了京东商城、淘宝、苏宁等网站证书发现，其公钥长度均为2048位。理论上，公钥长度越长，加密信息越难被破解。

2010年，被广泛应用于数字证书的1024位RSA非对称密钥算法被认为可能已被破解，美国国家标准技术研究院(NIST)要求2010年12月31日之前停止使用1024位RSA算法，微软则通知全球所有受信任的根证书颁发机构(CA)，必须尽快从1024位的根证书向 2048位迁移，并于2010年12月31日把所有1024位根证书从受信任根证书中删除。陈良表示，或许正基于此，1024位的12306根证书被IE 浏览器默认为不被信任。