【有深意】2017春节抢票攻略进行时 12306为啥要让我们下载根证书

2016在朋友圈挥手告别之后，紧接着就是 2017春运抢票抢火车票 ！！！12306当然不会忽略安全问题，当我们打开12306网站界面时，就会出现一行红字： “为保障您顺畅购票，请下载安装根证书。”

中华大地又到了每年春节抢火车票的季节

一般这时候大家见面都不问：嘛呢？吃了么？而是当头一句：回家的票你抢了么？如果这几天你身边的同事在上午10点到12点半左右，捶胸顿足，痛苦哀嚎，不用问，票没抢着！尤其是北上广深打拼的远方游子，春运的票不是你想买，想买就能买啊~

数据显示，春运售票每天PV超400亿次，14亿人民的刚需，那真的不是盖的，当今时代数字真的就是钱啊！有多少人在春运抢票，就有多少人的个人信息，在网上被应用，而在黑客眼中这庞大的数据，简直就是宝藏一般的存在，所以网站安全绝对不能忽视，如果一旦发生数据泄露、网页漏洞，那很可能就意味着全国人民的“信息裸奔”……

这一点，12306当然不会轻忽，细心的用户都会留意，当我们打开12306网站界面时，就会出现一行红字： “为保障您顺畅购票，请下载安装根证书。”

12306根证书是什么

根据知乎上的朋友回答，

所谓根证书是神马？证书的信任链条是环环相扣的，根证书就是一开始就被信任的证书。
比方说，我相信A，A告诉我B是安全可靠的，B又担保告诉我，C是OK的，那么我就相信C了。根证书就是这里的A，当然A和C之间可以有多个证书链条，任何数量的B。

根证书是被严格限制和确认的，根证书的颁发者被称之为Certificate Authority，简称就是CA，其实信任的根证书不如说是信任CA罢了。操作系统里都会内置一份可信的根证书列表，（Firefox的根证书列表是独立于操作系统之外的），这个列表里的证书会被严格的审核以确保安全与可靠。那么还有一个问题

那么为什么在12306上买火车票要装根证书？

这里面有三层意思，分别如下：

从公开的意义来说

是为了确保安全，很多涉及在线交易的网站，例如网上银行、购物网站等，都会使用SSL技术对页面内容进行加密。SSL技术在这里的主要用途有两个：

• 确保网站服务器和用户浏览器之间的通讯不被窃听 ：这一点很好理解。SSL属于一种公钥加密体系，简单来说，一个SSL证书分为两部分：公钥和私钥。其中私钥会被网站所有者妥善保管，并在服务器端用私钥将网络通讯全部加密；而公钥会在网上广为传播，一个公钥加密后的数据只有用所对应的私钥才能解密。因此只要SSL证书本身可以保证安全，那么在访问网站的时候就可以保证网络通讯不被他人所窃取，并且如果有人进行中间人攻击，因为没有相应的密钥，导致篡改后的数据无法通过校验，因此可以及时察觉。
• 确保网站所宣称的身份真实可靠 ：这一点也不难理解。网上有个网站叫做支付宝，可如何保证这个网站就是那个真正的支付宝，而不是其他人伪造的钓鱼网站？因此真正的支付宝可以使用SSL证书，这种针对企业用的证书的申请手续比较繁琐，有一大堆审查流程，需要提交大量相关的证明文件，因此可以保证只有真正的某公司才能以这个公司的名义申请证书，只要申请到证书，就可以确信身份的可靠。此外近些年还有一种更可靠的EVSSL证书。

从乘客的意义来说

实际上这是关系到每位乘客信息保密的一项网络安全措施，电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下，交换敏感信息必须要通过这个方式来进行。如何判断是否加密，最简单的办法就是看看地址栏，如果网址前面写的是“https://”，那么这个页面就是使用SSL加密的。

这意味着你访问的页面是安全的并且可以用来交换敏感信息。而如果使用Internet Explorer 7或者以上版本浏览器的乘客，在浏览器地址栏的最右边有一把小锁头。点开这把小锁头，就能看到关于https的信息，这种加密方式不单用在12306上，像绿盟科技这类国内领先的信息安全公司内网很早就在使用这种加密方式了。

事实上，乘客在登录12306时，想到的是能否买到票，并且用户信息是否安全，而国家铁道部方便用户出行的同时，也采取了各种各样的方式保证乘客的数据信息安全。

当然还有一层意思

让我们看看12306的证书，显然这个证书是SRCA自己颁发给自己的，

那这个证书与从verisign CA购买的证书有何不同呢？根据知乎朋友的回答，

既然是verisign颁发的，当然也可以随时由verisign吊销的，而且用途么，也必须是一开始向 verisign申报的用途，违规使用的话，被抓到的话那证书也是会被吊销的。证书被吊销会是什么样？就像下图那样~~~

相应的，所谓根证书是神马？证书的信任链条是环环相扣的，根证书就是一开始就被信任的证书。
比方说，我相信A，A告诉我B是安全可靠的，B又担保告诉我，C是OK的，那么我就相信C了。根证书就是这里的A，当然A和C之间可以有多个证书链条，任何数量的B。

根证书是被严格限制和确认的，根证书的颁发者被称之为Certificate Authority，简称就是CA，其实信任的根证书不如说是信任CA罢了。操作系统里都会内置一份可信的根证书列表，（Firefox的根证书列表是独立于操作系统之外的），这个列表里的证书会被严格的审核以确保安全与可靠。

如何确保证书安全

安全加曾经介绍到 证书让人头疼 监测证书的状态更头疼 Facebook发布免费工具“证书透明度监测开发者工具” ，特别对于小型组织而言，构建基础设施和与所有公共CT日志进行交互的搜索工具的成本太高。然而，Facebook发布了一款名为“证书透明度监测开发者工具”（Certificate Transparency Monitoring Developer Tool）的工具，填补了这一空白。该工具之前是Facebook内部使用的工具。

该工具定期检查主要公共CT日志中为用户选定的域而发布的新证书。

“自去年以来，我们内部一直在监测证书透明度日志，并发现这很有用。”Facebook安全工程师David Huang说，“这让我们发现了为域所发布的意料之外的证书。之前，我们对此并不知晓。我们意识到，这可能对其他开发者也有所帮助，因此就将之免费公开了。”

Google证书透明度（CT）运动促进了一系列健康发展，不仅改善了组织监测和审计TLS证书的方式，还减少了恶意证书或错误发布的证书的数量。认证机构需向公开访问的日志提交证书，因此谷歌开发了CT框架。截止明年10月，Chrome浏览器不再信任不合规网站。