digicertinc(买火车票的12306)

扫码添加渲大师小管家，免费领取渲染插件、素材、模型、教程合集大礼包！

大家好，今天来介绍digicertinc(ssl数字证书的应用流程)的问题，以下是渲大师小编对此问题的归纳和整理，感兴趣的来一起看看吧！

买火车票12306下根证书怎么办

12306主页上有一段很显眼的文字—--“为保障您顺畅购票，请下载安装根证书。”这段文字和12306很多的其他问题一起成为网友诟病12306的话题，但是这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西。 　　为什么在12306上买火车票要装根证书？想要回答这个问题，那么我们就必须先要提前回答说几个定义： 　　电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下，交换敏感信息必须要通过这个方式早斗来进行。包括12306在内，淘宝、京东等在交换敏感信息的时候都使用了SSL进行加密。 　　那么，我们怎么知道网站是否使用了SSL加密呢？最简单的办法就是看看地址栏——如果网址前面写的是“https://”，那么这个页面就是使用SSL加密的。这意味着你访问的页面是安全的并且可以用来交换敏感信息。如果你使用的是Internet Explorer 7或者以上版本浏览器，你应该能在浏览器地址栏的最右边看到一把小锁头。就像下图所示的那样。点开这把小锁头，就能看到关于https的信息。 　　用其他浏览器呢？现在流行的浏览器中，全部都会标示出来该网页是使用了https以防止窃听和用户的个人信息安全的。比如下边的图就是在Firefox中使用https浏览维基百科的画面。 　　但是，谁又能保证https的安全呢？这里就又是一个概念：数字证书认证机构。它的译名很多，不过大致意思对就可以了。英文Certificate Authority，经常被缩写为CA。下文中也使用“CA”来称呼数字证书认证机构。 　　CA是一个机构——打个比方，这就像是信用卡一样。一个人向银行申请信用卡，就像网站向CA申请证书。CA觉得网站的信用合格，就签发SSL证书；银行觉得申请者的信用合格，就签发信用卡。等等，什么又是“SSL证书”呢？这就是CA签发给网站用以证明网站身份的“信用卡”。有了SSL证书，加密网页才能被信任。当你在访问一个被https加密的网页时，网页会出示一份证书，这份证书有助于用户信任这个网站。没有正规CA签发的证书的网站是不会受到浏览器的信任的——就算你用了SSL来加密也没用。肢睁稿 　　再看看前面的两张图片。第一章支付宝的截图中，CA就是：VeriSign Class 3 Public Primary Certification Authority - G5 　　第二章维基百科的截图中，CA是：DigiCert Inc 　　浏览器又上哪知道CA是正规的呢？那就是根证书库，这是一个操作系统认为可以被信任的CA的名单。几乎每个能上网操作系统（甚至包括诺基亚最弱智的S40系统）都有一个。在这里用Mac做示例。Mac的根证书库在： 　　Finder-应用程序-其他（提示：OS X Lion或者以下操作系统叫“实用工具”）-钥匙串访问 　　然后在最左边找“系统根证书”，点进去便是。看到的应该如下图所示。 　　可以试着找一下VeriSign Class 3 Public Primary Certification Authority - G5—--肯定能找到！每次浏览器浏览https网页时，都会把网站出示的证书在这个库里面找一圈，能找到就OK，找不到的话，就证明你这个CA是不可靠的！ 　　SSL加密的目的除了保证用户信息在传输过程中的安全外，还保障了服务器的身份。有些简单的SSL证书仅仅需要用该网站域名的邮箱向CA发封邮件就能签发了——不过如果是一个组织、团体、基金会或者盈利性机构（尤其是历孝类似于支付宝或者PayPal的网络支付服务），那么SSL证书的签发就会变得十分繁琐。网站需要提供大量的文件以证明该网站是可靠的。如果能够证明该网站是可靠的，CA才会给签发证书。 　　还有一种证书被称作EV SSL证书（Extended Validation SSL），这种证书遵循全球统一的严格身份验证标准颁发的SSL证书，是目前业界最高安全级别的SSL证书。这种证书显示起来，就是俗称的绿色地址栏证书。在IE 7和以上IE浏览器便会出现绿色地址栏，并且滚动展示该网站的信息和CA信息。如下图所示。 　　EV SSL的申请手续更复杂，申请费用也更多，但是可以换来更多用户的信任。左图是Firefox下显示EV SSL证书的样子。这个证书证明了这个网站的经营者为Wikimedia Foundation, Inc.，并且位置位于San Francisco California, US 　　据一个叫做VeriSign的CA的统计，使用EV SSL能大幅提升用户对于网站的信任。 　　总而言之，SSL证书的目的有两个： 确保网站和用户之间的数据是加密并且可靠的 确保网站所宣称身份的真实可靠 　　如果访问12306.cn会出现什么情况呢？12306的确使用了SSL来加密以保障网页的安全，而访问直接访问12306就算不安装根证书也不会出现任何问题。以Chrome为例，访问主页不会出现任何问题，但是若要访问购票页面就会无法访问，如下图所示。 　　12306会让我们访问一个叫https://dynamic.12306.cn/otsweb的网址。如果我们直接用Chrome访问这个网址呢？华丽丽的一幕出现了： 　　使用IE8浏览这个页面会出现这样： 　　回到Chrome，如果我们点击“仍然继续”，就会正常的看到购票页面没有任何阻力。IE8也是一样，不过IE8的地址栏整个都会变成红色的。 　　如果我们点击旁边的小锁头来查看关于这个证书的信息呢？会出现下图。 　　再点击“证书信息”，会看到这个12306的证书是一个叫做SRCA的CA签发的。 　　但是在“钥匙串访问”里面根本没有一个叫做SRCA的CA。 　　如果安装上了首页给出的“根证书”，（依然以Mac为例）钥匙串访问里面就会有一个叫做“SRCA”的CA！并且本来这个证书是不受信任的，安装之后就会被设置为“此证书已被标记为受此账户信任”。 　　这样的话，浏览器和操作系统就会信任这个证书，便不会给予CA信息不对的提示了。 　　“SRCA”又是何许人也？在上图中，可以看到SRCA的细节部分，“组织”填写的是Sinorail Certification Authority 　　这也就不难分析了，“Sinorial”中的“S”和“R”，“Certification Authority”的“S”和“A”，就拼出来了“SRCA”。 　　在搜索引擎中搜索Sinorail Certification Authority中的Sinorail，就会找到这样一个网站。叫做“中铁信息工程集团”。网址就是http://www.sinorail.com/。 　　听名字就知道这网站跟12306肯定是亲戚关系。换种话说，就是自己给自己发证书。你说这证书能可信吗？ 　　正规CA的证书可不是白给的。要不然CA靠什么吃饭？一个SSL证书从每年三百块RMB到一万五不等。据我所知，最贵的证书是VeriSign签发的，一万五的那个就是他。而便宜的三百块证书——只要不是VeriSign，其他CA签出来的最便宜的证书差不多都这个价。比较便宜的代表是Go Daddy、Comodo等。为什么12306要使用自己给自己的证书呢？貌似唯一的合理解释就是省钱。能省大概三百到一万五不等。 　　铁道部有时候买一张火车票就差不多够一年的证书钱了。 　　那么又为什么说铁道部用自己的证书不安全呢？有些人在12306上买票时会看到“该站点安全证书的吊销信息不可用，是否继续”的提示语，这又是什么意思呢？ 　　从前有个倒霉的的荷兰CA，叫DigiNotar。这CA被黑客攻破，导致这家CA办法给一些用户的证书的私钥失效（私钥是在SSL加密环节中非常重要的东西），这就使得以这家CA的名义伪造证书成了可能。黑客可以通过这家公司的名义伪造证书给一些非法网站，客户一看这是加密过的还是大型CA签出来的证书便很容易信任。因为DigiNotar名气很大，并且很多大公司都使用它的证书，微软等操作系统厂商在这事情发生之后开始忙不迭的发布更新补丁来宣布DigiNotar的证书失效。 　　微软在 KB2607712 补丁中宣布了DigiNotar的根证书无效。原文如下： Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书，DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户（包括 Internet Explorer 用户）执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞，但是此问题会影响 Microsoft Windows 的所有受支持版本。 　　这家倒霉公司最后因为这件事华丽丽的破产了。 　　正如这件事一样，有些知名CA出了事，微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA，尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA，人还懒得管你呢！那么小CA的私钥失窃之后会有什么不就措施呢？那就是证书吊销列表，英文全称Certificate revocation list，简称CRL。下文也称呼它为CRL。更详细的内容可以参考这里和这里（英文）。 　　CRL是干什么的呢？比如你买的证书被盗了，只要将信息报告给CA，那么CA就会把你这个证书的信息添加到这个CA的CRL中，每次浏览器浏览加密网页时，都会检索CRL信息——如果没有的话，就会提示该站点安全证书的吊销信息不可用，是否继续。想必读到这里大家也都知道了，12306的证书没有CRL信息。这也就意味着，12306所使用的证书一旦失窃，系统厂商不会管这个，甚至连最后一根救命稻草CRL都没有。 　　简而言之，如果证书出了事，两种解决办法： 系统厂商发补丁宣布该证书失效 通过CRL宣布证书失效 　　不过可惜的是12306出了事，这两招哪一个都不顶用。 　　如果证书失窃，会有什么后果？最可能的后果就是像前面的倒霉蛋一样倒闭。不过我大天朝铁道部（尽管已经倒闭）欠了两千多亿还巍然不动，这个可能便没有了。前面提到的两种解决方案一个也用不了，这就意味着遭殃的一定是用户。证书失窃，任何人都能用此来伪造虚假证书。尽管SRCA颁发的证书默认是不受到系统信任的，但是中国这么多去过12306网站买过火车票的人——假设所有人都安装了这个根证书使的系统对此证书信任——一个绿色地址栏都能提升用户这么大的信任，违法网站只要获得了SRCA颁发的证书，岂不就能轻易骗得用户的信任？ 　　如果你是Mac用户，并且访问https://www.12306.cn没有任何障碍，那么可以参考这个视频中的步骤来将SRCA的证书设为不信任。如果要购票，反其道而行之即可。 　　从证书的角度看，中国很多大佬都做的非常不到位。比如我手里的建行网银，在安装U盾的时候必须安装一个网银根证书。SSL证书方面中国也做的很不到位。比如京东只有在用户登陆的时候才用了SSL来加密，而京东甚至在下订单的时候依然是明文传输。新浪微博在更改个人敏感信息时仍然使用明文传输，而twitter在早期甚至连微博内容都用https。如果使用不加密的公共Wi-Fi的话，那么在同一个Wi-Fi热点下有一个黑客，黑客便可以非常轻松的窃取到你的个人信息。 　　P.S.：现在12306在付款的过程中使用了VeriSign签发的合格的证书，但是这样并不代表着上面所说的可能造成的严重影响不会发生。

SSL数字证书哪家比较不错请推荐一家

推荐一家国际大品牌给你：Comodo

Comodo成立于1998年，是全球优秀的网络安全服务提供商和SSL证书服务商之一，Comodo证书产品类型丰富，满足各类网站不同的安全需求，极具性价比，深受中小型企业的欢迎。Comodo拥有超过20年的数字证书行业经验，证书发行量全球第一，迄今为止已发出超过1亿份证书，为所有网站和移动应用提供各个类型的数字证书安全解决方案。

Comodo提供的证书价格十分便宜，是不少个人及小型网站的首选。截止到目前已经拥有70多万商业客户，占有40%以上的市场份额，而且这一数字还在不断增长。公司成立于1998年，因为出售的价格十分便宜，因此市场占有前物并率很高蚂模，很多网站用的都是Comodo的证书。

Comodo证书申请后，也会有一个网站安全签章，这个安全网站签章可以确保该标志不会被假冒或钓鱼网站非法使用，相对于赛门铁克的诺顿还是无法相比的，不过Comodo的ssl证书也是通过WebTrust国际安慧迹全审计认证的，算得上是知名的CA机构了。

有哪些国外知名的公司颁发中文数字证书呢

颁发中文数字裤扰证书的机构找GlobalSign
GlobalSign 成立于 1996 年，是一家声誉卓著，备受信赖的CA 中心和SSL 数字证书提供商。作为公众信任服务行业的领头羊，GlobalSign 自其成立伊始察燃，一直致力于网络安全认证及数字证书服务，并在全球拥有众多合作伙伴。 2006 年 10 月， GlobalSign 正式成为日本上市公司 GMO Internet Inc （东京证券市场代码：9449）旗下公司后，崭新的销售管理模式和强大的技术支持将会为败纯虚用户带来一个更值得信赖的 GlobalSign。

在刚刚过去的2月里SSL行业发生了哪些事

SSL行业，2月里面发生的重要动态：

• TLS 1.3已经获得IETF的批准; 最终的RFC可能会很快推出。

• 即将完成的TLS 1.3再次开始了关于拦截代理和数据中心可见性的讨论。 英国国家网络安全中心参加了这场辩论，但是正如Adam Langley指出的那样，有一些事实上的错误主张。 特别是，在1.2版本之前的TLS版本中，截取流量方法的一些误解是造成延迟TLS 1.3几个月的部署问题的原因。 在伦敦的IETF会议上，可见性问题也再次提出。

• OpenSSL正试图将其代码更改为Apache许可证。 他们现在正在寻找最后的贡献者，目前还没有得到他们的更改许可证的批准。

• Facebook推出了一项功能，该功能将主动将HTTP链接重写为HTTPS，以获取位于HSTS预载列表中或设置HSTS标头的URL。

• NSS发布了3.36版本，并将其Chacha20算法替换为HACL *项目的正式验证版本。

• 谷歌解释了其最终计划，摒弃下个月的一些赛门铁克证书以及今年晚些时候的所有剩余的证书。 正如我们上个月报告的那样，仍然有许多网站使用这些证书，这些证书很快就不再受信任，并且已经在Firefox Nightly和Chrome Beta版本中引发警告。 Mozilla TLS天文台提供了有关该主题的一些新数据。

• Apple已经对HSTS进行了一些更改，以防止滥用用户跟踪功能。

• Android P将加强对应用程序中TLS流量的需求，如果开发人员未明确选择加密流量，则会阻止所有非TLS流量。

• Mozilla通过HTTPS测试DNS的实验引起了一些争议。 这意味着DNS查询会通过加密通道转到Mozilla控制的服务器。 从隐私的角度来看，这既有利也有弊：流量本身是加密的，无法读取，但是一个中央服务器（在Mozilla的情况下，使用Cloudflare）可以访问大量祥余岁的用户DNS数据。

• 自动化证书颁发的ACME规范正在终审，并可能很快成为IETF RFC。

• encrypted.google.com子网域提供了一种通过HTTPS访问Google搜索引擎的可选方式。现在已经被弃用了，因为搜索引擎默认已经通过HTTPS访问了一段时间。

• Hanno Böck发布了WolfSSL库中堆栈缓冲区溢出的详细信息。

• Let's Encrypt现已支持通配符证书。

• LibreSSL修复了2.7.1版中的证书验证漏洞，由Python开发人员Christian Heimes发现，他也在Python本身中实现了一种解决方法。

• OpenSSL修复了两个漏洞，ASN.1解析器中的堆栈耗尽以及CRYPTO_memcmp函数的HP-UX / RISC汇编代码中存在的一个错误。

• 研究人员发表了一篇论文，分析证书透明度日志中的证书与基准要求的一致性。

• 与其他浏览器一样，Safari在用户使用未受保护的HTTP页面上的表单时也会警告用户。

• CurveSwap是可能出现的理论攻击情形，因为部分毁肆TLS握手未经过身份验证。一篇研究论文以此为出发点来研究椭圆曲线密码学的另类应用。

• Cloudflare宣布其证书透明日志，名曰Nimbus。

• Tinydoh是基于HTTPS的DNS的Go实现。

• 越来越多的公司和项目宣布弃用旧的TLS版本1.0和1.1，包括：证书颁发机构DigiCert，KeyCDN公司和Python包存储库PyPI。

• 从4月份开始，Chrome需要从证书透明度日志中获取所有新证书的SCT。Let's Encrypt已经开始自动将它们嵌入到所有新证书中。

• Mike West写了一个提案，以限制通过不安全的HTTP连接发送的cookies的有效期。

• Vodafone葡萄牙公司重写了HTTP请求的内容安全策略标头。ISP对HTTP的商业化操纵是所有静态网页都应该使用HTTPS的理由之一。

• Kudelski安全公司解释了Manger对RSA OAEP的攻击。

• Adam Langley写了一篇关于Cloudflare和Google的谨睁测试，以确定TLS 1.3中后量子密钥交换的可行性。后量子算法通常带有更大的密钥大小;该实验通过向TLS握手添加虚拟扩展来模拟这一点。独立于测试，思科的研究人员已经建立了一个实验性的后量子PKI，使用X.509扩展为证书添加后量子能力。

• Mozilla的Franziskus Kiefer写了篇关于Mozilla在HACL项目中使用正式验证的加密技术的博文

• OpenSSL发布了关于RSA密钥生成中的时间问题的建议。相应的研究论文已经发表在Cryptology ePrint Archive上。

• 一篇论文探索了用其他实现来动态替换OpenSSL中的加密算法，在某些情况下提速显著。

• 论坛供应商Discourse默认博客支持HTTPS。

• Ian Carroll又一次以“Stripe，Inc.”的名义为其子域名之一申请扩展验证证书。他已经用该名称注册了一家公司，而该公司并非知名的支付提供商Stripe。这点表明扩展验证证书没有多大价值。证书颁发机构GoDaddy已经吊销了该证书，这反过来又引发了关于撤销是否合法的辩论。 Scott Helme在博客文章中讨论了这场辩论。

• 一篇研究论文调查Java密钥库的安全问题。

• 托管官方jQuery库的域的证书已过期，并导致大量网站崩溃。因为通常的做法是从上游主机中包含jQuery并且不在本地托管它。

• testssl.sh工具已发布3.0测试版，包括支持TLS 1.3，检测ROBOT漏洞以及支持OpenSSL 1.1。

• Bouncy Castle的RSA密钥生成算法的一个缺陷可能会导致素数测试的数量太低。如果可能性很低，则可能导致产生弱密钥。

• BGP劫持被用来攻击Ethereum网站MyEtherWallet的访问者。这引发了一些关于BGP漏洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。 Cloudflare的博客文章解释了细节。这种攻击情景并不新鲜;它在2015年黑帽会议和研究论文中进行了讨论。

什么是SSL加密

SSL是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的姿隐 超文本传输协议（HTTP）使用 SSL 来实现安全的通信。

在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

非对称加密

那么什么是SSL使它对在线安全如此重要？应该探索的一个方面称为非对称加密。当您访问网站时，浏览器会与网站建立连接。目标是在站点和浏览器之间的任何数据流之前确定SSL证书是否有效。所有这一切发生得如此之快，以至于您没有发现延迟。

换句话说，连接的加密是在您看到任何内容之前确定的。如果出现问题，浏览器会阻止您进入您的轨道并让您有机会从网站迁移。

什么是非对称加密很重要？它使用私钥和公钥。公钥加密数据，而私有密钥解密数据。只有在两个键确定功老培能后才能继续。

对称加密

那么对称加密呢？这对验证SSL证书的过程也很重要。在安全会话建立后，一旦浏览器和站点相互通信，这就是保持连接的原因。

由于使用了这种类型的加密，会话密钥能够加密和解密数据迹含厅。你看到的是来回的数据流畅，仍然是安全的。

他们如何共同合作形成SSL

将非对称加密视为检查，确认和验证浏览器和网站可以通信的手段。从某种意义上说，它会检查SSL证书并确保通信安全。从那里开始，对称加密接管并允许通信流动不减，直到一方或另一方结束对话。

深入挖掘：RSA和ECC

当您了解有关SSL和加密的更多信息时，您可能会听到两个术语。其中之一称为RSA加密。

这个名字基于提出这种加密理念的三个人：Rivest，Shamir和Adelman。它侧重于公钥加密，并且只要使用浏览器连接网站，就会使用特定的数学公式生成两个大的素数。素数在任何时候都是保密的，最终导致公钥和私钥的发展。一旦完成该过程，就不再需要两个素数。

这是浏览器和站点之间“握手”的另一层保护。与一般的加密一样，它发生得如此之快，以至于您没有时间看到它发生。它做的是保持连接安全。

您还将听到ECC加密。这代表Elliptic Curve Cryptography。它已经使用了十多年，通常被认为比SSL的其他方面更复杂。它是如何参与建立连接的验证过程的。

与RSA一样，ECC也是关于评估和确定站点与浏览器之间的连接是安全可靠的。一旦验证，就会有来回沟通的基础。将其视为防止第三方闯入用户与您访问的网站之间的对话的另一种方式。