|
網(wǎng)購(gòu)火車票總被瀏覽器屏蔽 網(wǎng)站SSL認(rèn)證無(wú)強(qiáng)制規(guī)定
原本每年只需要支付數(shù)千元就可以使用的國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)安全SSL證書(shū)�����,不知何故�,始終沒(méi)能在12306上被使用。而根據(jù)《IT時(shí)報(bào)》記者的調(diào)查���,12306 提供的根證書(shū)“SRCA”(中鐵CA)�,是其自行發(fā)布的證書(shū)�,其采用的加密方式在三年半前已被微軟認(rèn)定為“不安全”。截止到發(fā)稿��,12306并未對(duì)記者的 提問(wèn)做出回應(yīng)���。
今年1月9日����,小年夜(1月28日)的火車票開(kāi)售,12306網(wǎng)站當(dāng)日點(diǎn)擊量高達(dá)144億次�。然而,這同時(shí)意味著�,“IE已阻止該網(wǎng)站內(nèi)容”“該內(nèi)容沒(méi)有簽署有效的安全證書(shū)”等情況,在這天購(gòu)票者打開(kāi)12306時(shí)至少出現(xiàn)了上億次����。
原本每年只需要支付數(shù)千元就可以使用的國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)安全SSL證書(shū),不知何故�,始終沒(méi)能在12306上被使用,而根據(jù)《IT時(shí)報(bào)》記者的調(diào)查��,12306提供的根證書(shū)“SRCA”(中鐵CA)�,是其自行發(fā)布的證書(shū)����,其采用的加密方式在三年半前已被微軟認(rèn)定為“不安全”。截止到發(fā)稿��,12306并未對(duì)記者的提問(wèn)做出回應(yīng)�����。
◆ 記者調(diào)查
12306網(wǎng)站為何“不受信任”�?
用戶投訴:12306總是被瀏覽器屏蔽
袁元(化名)近日向《IT時(shí)報(bào)》微博投訴,用IE、360�、火狐等多種瀏覽器打開(kāi)12306網(wǎng)站時(shí),總會(huì)出現(xiàn)“Internet Explore已阻止此網(wǎng)站顯示有安全證書(shū)錯(cuò)誤的內(nèi)容”“內(nèi)容被阻止���,因?yàn)樵搩?nèi)容沒(méi)有簽署有效的安全證書(shū)”等提示�����,“兩年前12306剛上線時(shí)就發(fā)現(xiàn)了這個(gè)問(wèn)題����,當(dāng)時(shí)以為是在測(cè)試�,沒(méi)想到這么長(zhǎng)時(shí)間過(guò)去了,這個(gè)問(wèn)題依然存在����。”
為什么瀏覽器總會(huì)如此提示��?12306并沒(méi)有做解釋���,只在首頁(yè)上一則“網(wǎng)上購(gòu)票由于安全警告無(wú)法登錄問(wèn)題說(shuō)明”的公告中提供了解決方案�,“為了保證用戶順利進(jìn)行網(wǎng)站的使用����,請(qǐng)?jiān)谑醉?yè)下載根證書(shū)���,按說(shuō)明進(jìn)行導(dǎo)入即可?����!?/p>
《IT時(shí)報(bào)》記者實(shí)際操作發(fā)現(xiàn)��,凡是在IE瀏覽器中點(diǎn)擊“購(gòu)票”“退票”等涉及到支付的頁(yè)面�����,都會(huì)出現(xiàn)“不受信任”的提示�,即使從首頁(yè)下載安裝根證書(shū)時(shí),也會(huì)出現(xiàn)“網(wǎng)站證書(shū)不受信任”的提示��,如果選擇“信任該網(wǎng)站并強(qiáng)制打開(kāi)該網(wǎng)頁(yè)”���,在瀏覽器的地址欄上也會(huì)出現(xiàn)紅色的底色,提醒用戶該網(wǎng)站證書(shū)錯(cuò)誤�。
袁元是一個(gè)程序員,在他看來(lái)��,12306出現(xiàn)這個(gè)問(wèn)題非常“幼稚”�,“安全證書(shū)相當(dāng)于網(wǎng)站的身份證,瀏覽器在登錄網(wǎng)站時(shí)會(huì)根據(jù)證書(shū)中提供的信息�����,逐級(jí)驗(yàn)證證書(shū)的真?zhèn)?�,以保證證書(shū)的真實(shí)性和網(wǎng)站的真實(shí)性���,很難想象���,12306作為中國(guó)唯一的官方鐵路售票網(wǎng)站,竟然沒(méi)有一個(gè)讓人信任的安全證書(shū)�����?�!?/p>
《IT時(shí)報(bào)》記者就此問(wèn)題聯(lián)系了12306�,其客服表示網(wǎng)站能保證安全,用戶可以不用擔(dān)心那些提示�。
黑客解讀:沒(méi)有SSL證書(shū)等于“裸奔”
讓袁元如此糾結(jié)的安全證書(shū)究竟是什么?
“所謂安全證書(shū)���,就是通常所說(shuō)的SSL認(rèn)證��,它是一種國(guó)際通用的Web安全標(biāo)準(zhǔn)�����,主要通過(guò)對(duì)敏感數(shù)據(jù)加密來(lái)防止各種攻擊非法讀取重要信息���,保證數(shù)據(jù)的完整性和安全性���,包括我們經(jīng)常遇到的,如數(shù)據(jù)劫持和釣魚(yú)攻擊等�����,通過(guò)SSL���,只有授權(quán)用戶才能讀取數(shù)據(jù)�����。”曾在世界黑客大賽上獲得冠軍的上?����!癒eenTeam”團(tuán)隊(duì)主攻手陳良向《IT時(shí)報(bào)》記者解釋,當(dāng)用戶連接到網(wǎng)站時(shí)�,如果Web站點(diǎn)已經(jīng)加入SSL證書(shū),服務(wù)器將受證書(shū)保護(hù)��,并自動(dòng)傳送網(wǎng)站數(shù)字證書(shū)給用戶�����,此時(shí)用戶端的網(wǎng)頁(yè)瀏覽器程序就會(huì)產(chǎn)生一把唯一的“會(huì)話鑰匙碼”�,從而將用戶端和網(wǎng)站之間所有的通訊過(guò)程加密。
陳良作為黑客專家��,經(jīng)常嘗試去攻破一些網(wǎng)站和系統(tǒng)���,他告訴記者����,沒(méi)有SSL安全證書(shū)的網(wǎng)站����,一旦被黑客盯上,竊取用戶信息是很簡(jiǎn)單的���,因?yàn)樯倭艘徊狡平饷艽a的過(guò)程�。
◆ 證書(shū)疑云
國(guó)產(chǎn)證書(shū)究竟安不安全?
嚴(yán)格意義上說(shuō)�,12306并非沒(méi)有SSL證書(shū),它只是沒(méi)有一個(gè)被瀏覽器認(rèn)可的證書(shū)��。
根據(jù)12306網(wǎng)站提示��,記者下載了其所推薦的“根證書(shū)”�����,從其信息中看����,這個(gè)名為“SRCA”的證書(shū)是由中鐵數(shù)字證書(shū)認(rèn)證中心發(fā)布的根證書(shū),在其介紹中�����,中鐵CA(認(rèn)證機(jī)構(gòu))是由工業(yè)和信息化部審批通過(guò)的合法電子認(rèn)證服務(wù)機(jī)構(gòu)��。
不到一成國(guó)產(chǎn)CA通過(guò)國(guó)際標(biāo)準(zhǔn)
據(jù)了解���,中國(guó)目前有34家CA認(rèn)證機(jī)構(gòu)�����,都獲得了工信部頒發(fā)的《電子認(rèn)證服務(wù)許可證》���,賽迪智庫(kù)信息安全研究所所長(zhǎng)、中國(guó)電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)劉權(quán)表示�����,34家機(jī)構(gòu)都有權(quán)頒發(fā)企業(yè)證書(shū)�����、法人證書(shū)���、網(wǎng)站SSL證書(shū)等����,但網(wǎng)站SSL證書(shū)比較特殊�����,并不是每家機(jī)構(gòu)所發(fā)放的SSL證書(shū)都適應(yīng)客戶端環(huán)境��,這就是為什么有的網(wǎng)站會(huì)出現(xiàn)該網(wǎng)站證書(shū)不受信任的原因。
要適應(yīng)所有客戶端環(huán)境���,就要通過(guò)國(guó)際Webtrust認(rèn)證����,網(wǎng)站才能把根證書(shū)放到微軟等操作環(huán)境中����,用戶也不會(huì)收到提示。但通過(guò)該認(rèn)證的門檻比較高�����,中國(guó)目前只有深圳市沃通電子認(rèn)證服務(wù)有限公司����、上海數(shù)字認(rèn)證中心(上海CA)、中國(guó)金融認(rèn)證中心(CFCA)三家企業(yè)通過(guò)了認(rèn)證��。不過(guò)劉權(quán)也說(shuō)明��,沒(méi)經(jīng)過(guò)Webtrust認(rèn)證并不表示不安全����,只要是34家機(jī)構(gòu)頒發(fā)的證書(shū)��,安全性基本上沒(méi)問(wèn)題��。
Webtrust是由全球兩大著名注冊(cè)會(huì)計(jì)師協(xié)會(huì)AICPA(美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì))和CICA(加拿大注冊(cè)會(huì)計(jì)師協(xié)會(huì))共同制定的安全審計(jì)標(biāo)準(zhǔn)��,主要對(duì)互聯(lián)網(wǎng)服務(wù)商的系統(tǒng)及業(yè)務(wù)運(yùn)作邏輯安全性、保密性等共計(jì)七項(xiàng)內(nèi)容進(jìn)行近乎嚴(yán)苛的審查和鑒證�。只有通過(guò)Webtrust國(guó)際安全審計(jì)認(rèn)證,根證書(shū)才能預(yù)裝到主流的瀏覽器而成為一個(gè)全球可信的認(rèn)證機(jī)構(gòu)���。
記者了解到����,目前����,國(guó)內(nèi)外都有頒發(fā)經(jīng)過(guò)Webtrust認(rèn)證的SSL證書(shū)的機(jī)構(gòu),比如國(guó)外有威瑞信����、Globalsign等,國(guó)內(nèi)有CFCA���、上海CA等����。對(duì)于申請(qǐng)證書(shū)的流程,各方機(jī)構(gòu)都表示只要經(jīng)過(guò)提供營(yíng)業(yè)執(zhí)照��、填寫(xiě)申請(qǐng)表等簡(jiǎn)單的步驟����,在機(jī)構(gòu)接受申請(qǐng)后進(jìn)行審核,材料真實(shí)并且網(wǎng)站運(yùn)營(yíng)正常的話�����,只需3天就可拿到證書(shū)�,基本沒(méi)技術(shù)難度,費(fèi)用一般是每年3000-4000元�,申請(qǐng)成功之后,就會(huì)實(shí)現(xiàn)安全通道加密等功能���。
微軟對(duì)1024位加密說(shuō)“NO”
12306沒(méi)通過(guò)的還有微軟這一關(guān)����。其根證書(shū)信息顯示�����,采用的公鑰長(zhǎng)度是1024位,但《IT時(shí)報(bào)》記者查看了京東商城����、淘寶、蘇寧等網(wǎng)站證書(shū)發(fā)現(xiàn)���,其公鑰長(zhǎng)度均為2048位�。理論上��,公鑰長(zhǎng)度越長(zhǎng)�,加密信息越難被破解���。
2010年�,被廣泛應(yīng)用于數(shù)字證書(shū)的1024位RSA非對(duì)稱密鑰算法被認(rèn)為可能已被破解�,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST )要求2010年12月31日之前停止使用1024位RSA算法,微軟則通知全球所有受信任的根證書(shū)頒發(fā)機(jī)構(gòu)(CA)�����,必須盡快從1024位的根證書(shū)向2048位遷移���,并于2010年12月31日把所有1024位根證書(shū)從受信任根證書(shū)中刪除���。陳良表示�,或許正基于此���,1024位的12306根證書(shū)被IE瀏覽器默認(rèn)為不被信任����。
◆ 延伸閱讀
SSL認(rèn)證非強(qiáng)制 全靠網(wǎng)站自覺(jué)
石先生本欲從淘寶網(wǎng)購(gòu)一批iPod���,可貨沒(méi)到手����,支付寶賬戶里近2萬(wàn)元的貨款卻不翼而飛����,原因是上了一個(gè)假淘寶網(wǎng)頁(yè),這是最近發(fā)生的一個(gè)真實(shí)案例����。
4月29日,北京市政府宣布此日為“首都網(wǎng)絡(luò)安全日”���,在多元化的網(wǎng)絡(luò)時(shí)代���,安全備受重視��,卻又似乎最被忽視����。人們總是被一波又一波的信息泄露事件搞得風(fēng)聲鶴唳���,卻總是搞不清��,究竟怎樣才能算是登錄一個(gè)安全的網(wǎng)站���。
對(duì)于網(wǎng)站訪問(wèn)者而言�����,有很多辦法來(lái)判斷網(wǎng)站的真?zhèn)?����,比如不要點(diǎn)擊搜索的鏈接�����,直接輸入網(wǎng)址等等,但要求所有上網(wǎng)者都有如此敏銳的判斷力似乎難度過(guò)高�����,SSL安全證書(shū)是網(wǎng)站方提供的最簡(jiǎn)單的辨識(shí)方法���。
上海CA工作人員龔小姐告訴記者�,SSL網(wǎng)站安全證書(shū)的功能不僅于此�����,“CA作為第三方認(rèn)證機(jī)構(gòu)���,會(huì)記錄下網(wǎng)站的每一步操作記錄�����,如果使用了合法CA的認(rèn)證服務(wù)�,根據(jù)《電子簽名法》�,舉證的責(zé)任由合法CA完成?���!饼徯〗阏f(shuō)�,對(duì)于一些專業(yè)性要求較高的垂直網(wǎng)站��,如醫(yī)療類��、金融類等網(wǎng)站��,如果在運(yùn)營(yíng)過(guò)程中出現(xiàn)違規(guī)操作現(xiàn)象���,查實(shí)后�,證書(shū)會(huì)有被吊銷的可能���。
近年來(lái)�,隨著網(wǎng)站的大規(guī)模增長(zhǎng)以及釣魚(yú)網(wǎng)站的大肆橫行�,中國(guó)政府部門越來(lái)越重視網(wǎng)站信息安全。早在2012年���,中國(guó)政府就開(kāi)始試點(diǎn)對(duì)所有省市級(jí)的政府門戶網(wǎng)站進(jìn)行網(wǎng)站安全認(rèn)證。
記者登錄了一些常用的購(gòu)物網(wǎng)站�����,在美團(tuán)網(wǎng)上,記者選擇了上海楊浦區(qū)某KTV店銷售的代金券��,點(diǎn)擊購(gòu)買�����、付款��,渠道暢通�����,沒(méi)有出現(xiàn)“無(wú)安全證書(shū)”的字眼���。隨后���,記者又登錄了凡客誠(chéng)品,選擇男裝的一款衛(wèi)衣�����,加入購(gòu)物車�,并順利付款。此外,在京東�、1號(hào)店等記者也均未發(fā)現(xiàn)問(wèn)題。
隨后���,記者又登錄了中華人民共和國(guó)中央人民政府門戶網(wǎng)站��,以及廣東��、河南��、北京����、上海�����、江蘇����、浙江、武漢�����、天津�����、貴州����、廣州、惠州���、無(wú)錫等省市政府門戶網(wǎng)站����,一一點(diǎn)開(kāi)“新聞”“專題”“政策”“服務(wù)”等欄目�,均未發(fā)現(xiàn)“無(wú)安全證書(shū)”的現(xiàn)象。
龔小姐告訴記者��,目前很多大中型企業(yè)�、網(wǎng)站,尤其是金融���、證券�����、購(gòu)物等網(wǎng)站對(duì)安全比較重視�,但小企業(yè)對(duì)此重視度不夠。就上海CA而言�,每個(gè)月的申請(qǐng)認(rèn)證量不是很高,“我們現(xiàn)在每個(gè)月申請(qǐng)網(wǎng)站安全認(rèn)證的企業(yè)在幾十家左右���?���!备鼮殛P(guān)鍵的原因是,對(duì)網(wǎng)站安全認(rèn)證并不是一條強(qiáng)制性的規(guī)定,全靠網(wǎng)站自覺(jué)�。
◆ 記者手記
上“不被信任的網(wǎng)站”怕什么�����?
在寫(xiě)這篇稿件的時(shí)候����,記者腦子里經(jīng)常浮現(xiàn)出第一次在12306上買票時(shí)的情景:當(dāng)瀏覽器跳出“不安全”提示時(shí)��,記者第一反應(yīng)是上了假網(wǎng)站���,但又沒(méi)找到其它網(wǎng)站�����,膽顫心驚中完成了整個(gè)購(gòu)票過(guò)程��。在隨后的幾次購(gòu)票中�����,12306都出現(xiàn)這個(gè)提醒�����,現(xiàn)在也似乎習(xí)以為常了��,甚至當(dāng)其它網(wǎng)站出現(xiàn)類似提醒時(shí)���,也都視而不見(jiàn)。
可如今轉(zhuǎn)念一想�����,這樣的后果會(huì)是什么���?首先����,用戶會(huì)對(duì)這個(gè)網(wǎng)站的合法性產(chǎn)生懷疑,網(wǎng)站很難獲得用戶的信任��;其次�����,釣魚(yú)網(wǎng)站很容易模仿����,因?yàn)檎婢W(wǎng)站、假網(wǎng)站都會(huì)報(bào)證書(shū)錯(cuò)誤�����,用戶根本分辨不出來(lái)����;最后,如果信息傳輸過(guò)程沒(méi)有加密或者加密手段不夠高明�����,很容易被黑客中途截獲并泄露���。
既然有這么多可能的后果���,12306為何不及早解除購(gòu)票者的后顧之憂呢�?解決方法有二:出資購(gòu)買符合國(guó)際標(biāo)準(zhǔn)的SSL證書(shū)���,一年三四千元應(yīng)該不貴吧;或者提升自己證書(shū)的實(shí)力��,達(dá)到國(guó)際標(biāo)準(zhǔn)��。兩年多時(shí)間����,竟然什么都不做,真是盡顯“鐵老大”風(fēng)范�����。
|
