V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yanyuechuixue
V2EX  ›  问与答

请问,铁道部的 12306.cn 为什么不去买一个证书呢?

  •  
  •   yanyuechuixue · 2014-12-30 23:50:54 +08:00 · 14305 次点击
    这是一个创建于 3614 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己的证书有什么好处么?

    第 1 条附言  ·  2014-12-31 10:46:29 +08:00
    你们不觉得,在上12306首页那里的时候还是没有加密的,这时候弄个host指向假网站下载了假证书,不就啥都完了么……
    37 条回复    2016-08-15 11:48:56 +08:00
    t6attack
        1
    t6attack  
       2014-12-30 23:58:56 +08:00
    我也纳闷。现在CNNIC都是主流浏览器承认的CA了。
    直接从CNNIC拿个国产证书,多好的应用情境啊,为什么不用呢?
    hjc4869
        2
    hjc4869  
       2014-12-31 00:00:19 +08:00
    cn域名不是送CNNIC的证书吗
    Showfom
        3
    Showfom  
       2014-12-31 00:04:19 +08:00
    @hjc4869
    @t6attack 因为他们想自己做 CA 不想让别的 CA 获取用户信息。铁道部的技术人员不傻的,看 CA 是谁签发的就知道了。
    bjzhush
        4
    bjzhush  
       2014-12-31 00:09:25 +08:00
    有权,任性
    他们不光是自颁发的证书,而且还是根证书。。
    decken
        5
    decken  
       2014-12-31 00:17:10 +08:00 via Android
    为何要买
    SoloCompany
        6
    SoloCompany  
       2014-12-31 00:27:35 +08:00
    @Showfom 这说不通吧,CA又无法解密数据,如何获取用户信息?如果你申请证书是让CA直接给你生成密钥对的话当我没说
    Showfom
        7
    Showfom  
       2014-12-31 00:28:30 +08:00
    @SoloCompany 只是个想法吧,未经证实。不过根据铁道部以前都弄了铁通这么垃圾的 ISP 这种尿性来看,很有可能哦。
    WeIwEiMonKey
        8
    WeIwEiMonKey  
       2014-12-31 00:37:09 +08:00
    铁道部已经不存在了
    USCONAN
        9
    USCONAN  
       2014-12-31 00:51:00 +08:00
    證書啊,加密啊這些可是重大的安全課題,下期升級工程的重點項目,去買個證書就隨隨便便解決了你叫人家怎麼申報立項嘛~
    lhbc
        10
    lhbc  
       2014-12-31 01:02:53 +08:00   ❤️ 3
    纯谣言:

    研发项目:
    铁道部证书系统
    项目目标:
    研发具有自主知识产权的证书系统,防止国际证书机构盗取国家机密
    研发费用:
    1000万人民币
    xiaoxinsng
        11
    xiaoxinsng  
       2014-12-31 01:03:03 +08:00
    别人卖的证书都有价格啊 ,自己签发的价格可以商量
    0x1e240
        12
    0x1e240  
       2014-12-31 02:01:11 +08:00 via Android
    套现吧
    kavinyao
        13
    kavinyao  
       2014-12-31 02:05:25 +08:00
    因为铁道部的程序员不用上12306买票。
    cnbeining
        14
    cnbeining  
       2014-12-31 03:58:43 +08:00 via iPhone   ❤️ 1
    这个证书可以用于运营商乃至更大级别的mitm。

    目前已经发现sina部分服务使用了这个证书。

    然后你懂的。
    JayXon
        15
    JayXon  
       2014-12-31 04:05:43 +08:00   ❤️ 3
    12306其实是买了证书的,看看这个域名 https://epay.12306.cn/
    详见我的博客 https://www.jayxon.com/12306-certificate/
    SharkIng
        16
    SharkIng  
       2014-12-31 04:46:05 +08:00
    是个大公司都想自己做ca
    Quaintjade
        17
    Quaintjade  
       2014-12-31 05:26:00 +08:00 via Android
    也许是为了降低部署在CDN被盗的风险。


    @cnbeining 那是因为sina用的部分CDN与12306相同吧。这些CDN没开SNI,默认证书就是12306那张。
    wwqgtxx
        18
    wwqgtxx  
       2014-12-31 06:18:11 +08:00 via Android
    @cnbeining 那个只不过是cdb节点的证书而已,跟渣浪没啥子关系吧
    wwqgtxx
        19
    wwqgtxx  
       2014-12-31 06:18:31 +08:00 via Android
    @cnbeining 手滑了,是cdn……
    typcn
        20
    typcn  
       2014-12-31 07:12:50 +08:00
    @cnbeining 网宿全部都是这个证书,你访问 https://cdn2.eqoe.cn 也会得到 12306 的证书
    lixm
        21
    lixm  
       2014-12-31 08:37:24 +08:00
    这难道是逼大家都装它的CA吗? 装一个不可信的CA,基本上就没有隐私了
    sicksoul
        22
    sicksoul  
       2014-12-31 08:45:53 +08:00
    也是态度问题,人家是铁老大,还用得着买别人证书?人家可是相当高傲的!
    standin000
        23
    standin000  
       2014-12-31 09:03:53 +08:00
    自己的证书可以申请项目经费!
    iiusky
        24
    iiusky  
       2014-12-31 09:10:49 +08:00
    钱都用去建设网站了,哪来的钱买域名?~


    啊哈哈哈哈哈哈哈哈哈哈
    izoabr
        25
    izoabr  
       2014-12-31 09:12:39 +08:00
    10L正确
    Chilly
        26
    Chilly  
       2014-12-31 09:15:41 +08:00
    不知道v2有没有12306的程序员,很好奇。
    pfitseng
        27
    pfitseng  
       2014-12-31 09:16:50 +08:00
    @JayXon 这可能是oracle的应用要求的,没合法证书不让用
    quericy
        28
    quericy  
       2014-12-31 09:23:40 +08:00
    @Chilly 12306需要程序员?
    Derek_S
        29
    Derek_S  
       2014-12-31 09:33:35 +08:00
    咳咳,铁老大不是一直“亏损”,哪里有钱买证书。
    RobberPhex
        30
    RobberPhex  
       2014-12-31 10:06:15 +08:00
    实在是不能理解。一个证书不贵啊!
    xoxo
        31
    xoxo  
       2014-12-31 10:20:34 +08:00
    SRCA就是一个SB部门

    要CA想伪签你的证书,随便哪个CA都可以,
    成立一个铁道CA,纯脱裤子放屁
    yfdyh000
        32
    yfdyh000  
       2014-12-31 10:28:32 +08:00
    @xoxo 随便哪个CA是什么意思,是指用国内的合法CA?会被国际联盟迅速吊销吧。
    突然有个疑问,这种用户手动导入的根证书如果出了安全问题,Webtrust或其他机构(如微软、谷歌)能/会/有权吊销吗。
    yanyuechuixue
        33
    yanyuechuixue  
    OP
       2014-12-31 10:38:36 +08:00 via Android
    你们不觉得,在上12306首页那里的时候还是没有加密的,这时候弄个host指向假网站下载了假证书,不就啥都完了么……
    maikcn
        34
    maikcn  
       2014-12-31 10:45:32 +08:00
    我最近觉得,如果认为还能用**逻辑**去解释体制内的各种行为和决定的话,那真是太天真了
    chshouyu
        35
    chshouyu  
       2014-12-31 10:49:13 +08:00
    我也很想知道做12306的是一群什么人?
    传说中的学生?不太可能,技术达不到
    程序猿?野生的?
    外包?
    公务员?
    xoxo
        36
    xoxo  
       2014-12-31 11:23:44 +08:00
    @yfdyh000 对的,我的意思有双关
    1. 公认的CA如果伪造12306证书,会迅速被吊销,12306的这个担心是脱裤子放屁多余的
    2. 铁道部CA不受信任,如果可以被中间人攻击(反正不受信任,我也弄个不受信任的),12306成立铁道部CA这个部门也是多此一举,劳民伤财
    jixiangqd
        37
    jixiangqd  
       2016-08-15 11:48:56 +08:00
    支付用了 versign 的证书是为了支持手机端吧?因为手机端不能随便装根证书。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5686 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.