關于數字證書理解的簡單整理以及12306站點證書簡單分析

首先簡單理解一下什么是數字證書。這里是一篇英文文檔，描寫敘述的非常形象。形象的描寫敘述了什么是公鑰。什么是私鑰。假設確保數字證書的可靠性等。

以下。我們看一個應用"數字證書"的實例：https協議。這個協議主要用于網頁加密。

一般我們電腦的瀏覽器中都有一些受信任的證書頒發機構列表，里邊存儲的都是一些機構的信息。這些機構都是權威的。當然能夠通過安裝軟件的方式。來添加證書頒發機構，比方中國銀行的根證書軟件，阿里巴巴的根證書軟件。

默認我們覺得這些軟件都是從官網下載的，是絕對的沒被篡改的，可靠的。簡單來講，根證書存在的意義，就是驗證偶爾從網絡上傳到瀏覽器的數字證書的真假。

當我們向一個站點發起加密訪問協議后，站點會返回一個數字證書M給你。那么我們怎么確定這個證書M沒有在途中被人篡改過呢？這里就用到了根證書。

站點返回來的數字證書都是一定格式的，記錄了站點的名稱，公鑰，以及證書頒發機構A。并且有的地方，是用這個機構A的私鑰加密過的。我們的瀏覽器會依據這個證書寫著的頒發機構A，去“受信任的證書頒發機構”列表中，找到這個機構A。然后通過本機中存儲的關于機構A的信息，去檢查這個證書有沒有被篡改過。

有人說，怎么依據根證書去驗證數字證書M有沒有被篡改過呢？事實上這里也用到了對稱加密。假設根證書對某個站點頒布了數字證書。就是用自己的私鑰加密根證書的部分內容。這個根證書頒發機構把自己的公鑰放入到軟件中。安裝到客戶計算機中。用戶收到安全證書M后。會用根證書機構的公鑰去解密這個證書。假設能解開，說明沒有被改動過。假設不能解開，說明別改動了，不安全了。

比方說，證書傳送途中。被某個組織截獲。他們想篡改。并且他們也篡改了。可是注意如今有一點，他們篡改之后是須要加密的。因為終于的瀏覽器是會用公鑰解密的。他們此時僅僅能用根證書機構的私鑰加密，終于的瀏覽器才會打開，才不會察覺。用不論什么其它的私鑰加密，瀏覽器都是打不開的。

而此時他們又沒有根證書機構的私鑰，所以就無法篡改了。一旦篡改就會被發現。

繼續回到樣例中。此時，瀏覽器收到站點的安全證書。通過根證書列表查看驗證。證明了這個證書是安全的。可靠的。

client就能夠使用證書中的server公鑰，對信息進行加密。然后與server交換加密信息。步驟例如以下圖

首先。client向server發出加密請求。

server用自己的私鑰加密網頁以后。連同本身的數字證書，一起發送給client。

client（瀏覽器）的"證書管理器"，有"受信任的根證書頒發機構"列表。client會依據這張列表。查看解開數字證書的公鑰是否在列表之內。

假設數字證書記載的網址，與你正在瀏覽的網址不一致，就說明這張證書可能被冒用。瀏覽器會發出警告。

假設這張數字證書不是由受信任的機構頒發的，瀏覽器會發出還有一種警告。

假設數字證書是可靠的，client就能夠使用證書中的server公鑰。對信息進行加密。然后與server交換加密信息。

下邊是關于12306站點證書的一些看法，部分轉載。

12306站點買票。會出現證書過期或者是不可靠等提示，這里原因是什么？

大家都知道https的網頁是加密的，是須要證書的，網購火車票的網址是http://www.12306.cn/mormhweb/kyfw/。這個是http的普通網頁，沒有加密，是明文傳輸的。不須要證書。可是他里面有個iframe，也就是嵌套了還有一個網頁，地址是https://dynamic.12306.cn/otsweb/。這里就是https的了。

可是假設使用Chrome、Firefox或者IE8、9等瀏覽器都會顯示這個站點的證書有安全問題。

因為dynamic.12306.cn使用的是SRCA頒發的證書。這個證書在我們的計算機中是默認不被信任的，也就是不安全的。

Chrome：

IE9：

什么是SRCA？SRCA就是Sinorail Certification Authority，中文名叫中鐵數字證書認證中心，簡稱中鐵CA。

這是個鐵道部自己搞的機構，相當于是自己給自己頒發證書，當然不會被信任。

很多其它信息請見這個機構的站點。

于是，12306就在首頁顯著位置標明：為保障您順暢購票，請下載安裝根證書。

一般人假設看到這個肯定會依照要求下載安裝的。下載后解壓里面有個“SRCA根證書安裝說明手冊.doc”，這個doc格式我就先不吐槽了，還是先說說內容吧。

這個文檔一開頭就有這么一段話：

尊敬的用戶：

您如今安裝的是中鐵數字證書認證中心（中鐵CA。SRCA）的根證書，完畢這個操作能夠使您的購票體驗更為順暢，同一時候獲得一個更安全的網絡購票環境。
中鐵CA是由工業和信息化部審批通過的合法電子認證服務機構。該產品及相關操作不會對您的計算機構成危害，請您放心使用。

安裝了你的證書會使我的網絡購票更順暢更安全？我怎么不知道證書還有這種奇妙的能力？是不是Windows優化大師、360之類的軟件都應該集成一個安裝SRCA的證書的功能啊？

再看后面，“該產品及相關操作不會對您的計算機構成危害，請您放心使用。

”怎么感覺好像是此地無銀三百兩呢？

玩笑話就講到這里吧。以下來說說安裝了這個證書究竟會有什么危害。

以下因為涉及到一些password學的知識，限于篇幅和本人的表達能力。可能解釋得不是非常清晰，假設有什么不明確的地方建議學習一下這篇文章，圖文并茂，解釋得比較清晰。

假設你依照這個文檔的步驟安裝了SRCA的根證書的話。那么以后全部SRCA頒發的證書在你的電腦上都會被覺得是安全的。這有什么危害呢？首先SRCA是一個體制內的部門。所以他全然有可能會被有關部門控制。

假設有關部門利用SRCA的私鑰偽造了一個Gmail的證書，然后有關部門再通過電信運營商或者某墻攔截下來你和Gmailserver之間的全部通信，然后把自己偽造的證書發給你，因為你安裝了SRCA的根證書。你就會覺得這個證書是安全的。也就是說你就會以為你收到的內容是Gmailserver發送的。這樣有關部門就在你和Gmailserver之間充當了一個中間人的角色。這樣你和Gmailserver之間的全部加密通信就都神不知鬼不覺得被有關部門監聽了。他們就能夠得到你的郵件的內容甚至還有可能得到Gmail的password。這就是著名的中間人攻擊（MITM）。

這里僅僅是以Gmail為例，因為有關部門多次試圖獲得一些異見人士的Gmail郵件內容，就不具體說了。

說完了安裝證書的危害，那么為什么不使用VeriSign這個受信任的機構頒發的證書呢？

有些人就開始出來為鐵道部辯護了。說鐵道部不愿意花錢買證書，或者技術人員提出了要購買證書的要求可是領導不懂這些所以不允許等等。

我最開始也覺得這個是有可能的。畢竟這是在天朝。可是后來我發現https://epay.12306.cn/這個完畢訂票后用來支付的二級域名就是用的VeriSign頒發的證書。那為什么登陸賬號以及訂票不使用這個VeriSign的證書呢？

因為我實在無法找出合理的解釋，所以我僅僅好覺得是這種：鐵道部因為某個特殊的原因，希望大家在自己的電腦上面安裝SRCA的根證書，可是他自己也知道使用自簽名的證書是有危急的，只是登陸和訂票部分僅僅是涉及到用戶的隱私問題而已，即使有安全問題也無所謂的。天朝的p民本來就沒有什么隱私的。可是支付部分涉及到錢，假設出了事兒就比較麻煩。所以支付部分還是使用了VeriSign的證書。

轉載于:https://www.cnblogs.com/xfgnongmin/p/10739855.html