深圳网站建设虎网网络科技揭示：12306网站为何“不受信任”

12306网站购票业务是2011年6月12日投入，2011年6月12日5时，京津城际高铁开始试行网络售票，2011年年底，全国铁路已经全面推行网络售票，中国铁路开始走进电子商务时代。从2011年6月24日9时起，铁路部门开始对外发售京沪高铁车票。
2013年11月30日，12306网站新增支付宝支付服务功能。2013年12月，新版12306网站已上线试运行。新版推出“更多选项”功能，试运行期间与旧版本运行。网站推出彩色动态验证码。

2014年1月13日起，网购火车票不再显示姓名。此前，为应对抢票软件，12306升级验证码，将静态的验证码变成了不断摇动的彩色动态验证码，致使不少刷票软件失效。

今年1月9日，小年夜（1月28日）的火车票开售，12306网站当日点击量高达144亿次。然而，这同时意味着，“IE已阻止该网站内容”“该内容没有签署有效的安全证书”等情况，在这天购票者打开12306时至少出现了上亿次。

原本每年只需要支付数千元就可以使用的国际标准网络安全SSL证书，不知何故，始终没能在12306上被使用，而根据《IT时报》记者的调查，12306提供的根证书“SRCA”（中铁CA），是其自行发布的证书，其采用的加密方式在三年半前已被微软认定为“不安全”。截止到发稿，12306并未对记者的提问做出回应。

记者调查

12306网站为何“不受信任”？

用户投诉：12306总是被浏览器屏蔽

袁元（化名）近日向《IT时报》微博投诉，用IE、360、火狐等多种浏览器打开12306网站时，总会出现“Internet Explore已阻止此网站显示有安全证书错误的内容”“内容被阻止，因为该内容没有签署有效的安全证书”等提示，“两年前12306刚上线时就发现了这个问题，当时以为是在测试，没想到这么长时间过去了，这个问题依然存在。”

为什么浏览器总会如此提示？12306并没有做解释，只在首页上一则“网上购票由于安全警告无法登录问题说明”的公告中提供了解决方案，“为了保证用户顺利进行网站的使用，请在首页下载根证书，按说明进行导入即可。”

《IT时报》记者实际操作发现，凡是在IE浏览器中点击“购票”“退票”等涉及到支付的页面，都会出现“不受信任”的提示，即使从首页下载安装根证书时，也会出现“网站证书不受信任”的提示，如果选择“信任该网站并强制打开该网页”，在浏览器的地址栏上也会出现红色的底色，提醒用户该网站证书错误。

袁元是一个程序员，在他看来，12306出现这个问题非常“幼稚”，“安全证书相当于网站的身份证，浏览器在登录网站时会根据证书中提供的信息，逐级验证证书的真伪，以保证证书的真实性和网站的真实性，很难想象，12306作为中国唯一的官方铁路售票网站，竟然没有一个让人信任的安全证书。”

《IT时报》记者就此问题联系了12306，其客服表示网站能保证安全，用户可以不用担心那些提示。

黑客解读：没有SSL证书等于“裸奔”

让袁元如此纠结的安全证书究竟是什么？

“所谓安全证书，就是通常所说的SSL认证，它是一种国际通用的Web安全标准，主要通过对敏感数据加密来防止各种攻击非法读取重要信息，保证数据的完整性和安全性，包括我们经常遇到的，如数据劫持和钓鱼攻击等，通过SSL，只有授权用户才能读取数据。”曾在世界黑客大赛上获得冠军的上海“KeenTeam”团队主攻手陈良向《IT时报》记者解释，当用户连接到网站时，如果Web站点已经加入SSL证书，服务器将受证书保护，并自动传送网站数字证书给用户，此时用户端的网页浏览器程序就会产生一把唯一的“会话钥匙码”，从而将用户端和网站之间所有的通讯过程加密。

陈良作为黑客专家，经常尝试去攻破一些网站和系统，他告诉记者，没有SSL安全证书的网站，一旦被黑客盯上，窃取用户信息是很简单的，因为少了一步破解密码的过程。

证书疑云

国产证书究竟安不安全？

严格意义上说，12306并非没有SSL证书，它只是没有一个被浏览器认可的证书。

根据12306网站提示，记者下载了其所推荐的“根证书”，从其信息中看，这个名为“SRCA”的证书是由中铁数字证书认证中心发布的根证书，在其介绍中，中铁CA(认证机构)是由工业和信息化部审批通过的合法电子认证服务机构。

不到一成国产CA通过国际标准

据了解，中国目前有34家CA认证机构，都获得了工信部颁发的《电子认证服务许可证》，赛迪智库信息安全研究所所长、中国电子认证服务产业联盟秘书长刘权表示，34家机构都有权颁发企业证书、法人证书、网站SSL证书等，但网站SSL证书比较特殊，并不是每家机构所发放的SSL证书都适应客户端环境，这就是为什么有的网站会出现该网站证书不受信任的原因。

要适应所有客户端环境，就要通过国际Webtrust认证，网站才能把根证书放到微软等操作环境中，用户也不会收到提示。但通过该认证的门槛比较高，中国目前只有深圳市沃通电子认证服务有限公司、上海数字认证中心（上海CA）、中国金融认证中心（CFCA）三家企业通过了认证。不过刘权也说明，没经过Webtrust认证并不表示不安全，只要是34家机构颁发的证书，安全性基本上没问题。

Webtrust是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。只有通过Webtrust国际安全审计认证，根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。

记者了解到，目前，国内外都有颁发经过Webtrust认证的SSL证书的机构，比如国外有威瑞信、Globalsign等，国内有CFCA、上海CA等。对于申请证书的流程，各方机构都表示只要经过提供营业执照、填写申请表等简单的步骤，在机构接受申请后进行审核，材料真实并且网站运营正常的话，只需3天就可拿到证书，基本没技术难度，费用一般是每年3000-4000元，申请成功之后，就会实现安全通道加密等功能。

微软对1024位加密说“NO”

12306没通过的还有微软这一关。其根证书信息显示，采用的公钥长度是1024位，但《IT时报》记者查看了京东商城、淘宝、苏宁等网站证书发现，其公钥长度均为2048位。理论上，公钥长度越长，加密信息越难被破解。

2010年，被广泛应用于数字证书的1024位RSA非对称密钥算法被认为可能已被破解，美国国家标准技术研究院(NIST )要求2010年12月31日之前停止使用1024位RSA算法，微软则通知全球所有受信任的根证书颁发机构(CA)，必须尽快从1024位的根证书向2048位迁移，并于2010年12月31日把所有1024位根证书从受信任根证书中删除。陈良表示，或许正基于此，1024位的12306根证书被IE浏览器默认为不被信任。

延伸阅读

SSL认证非强制 全靠网站自觉

石先生本欲从淘宝网购一批iPod，可货没到手，支付宝账户里近2万元的货款却不翼而飞，原因是上了一个假淘宝网页，这是最近发生的一个真实案例。

4月29日，北京市政府宣布此日为“首都网络安全日”，在多元化的网络时代，安全备受重视，却又似乎最被忽视。人们总是被一波又一波的信息泄露事件搞得风声鹤唳，却总是搞不清，究竟怎样才能算是登录一个安全的网站。

对于网站访问者而言，有很多办法来判断网站的真伪，比如不要点击搜索的链接，直接输入网址等等，但要求所有上网者都有如此敏锐的判断力似乎难度过高，SSL安全证书是网站方提供的最简单的辨识方法。

上海CA工作人员龚小姐告诉记者，SSL网站安全证书的功能不仅于此，“CA作为第三方认证机构，会记录下网站的每一步操作记录，如果使用了合法CA的认证服务，根据《电子签名法》，举证的责任由合法CA完成。”龚小姐说，对于一些专业性要求较高的垂直网站，如医疗类、金融类等网站，如果在运营过程中出现违规操作现象，查实后，证书会有被吊销的可能。

近年来，随着网站的大规模增长以及钓鱼网站的大肆横行，中国政府部门越来越重视网站信息安全。早在2012年，中国政府就开始试点对所有省市级的政府门户网站进行网站安全认证。

记者登录了一些常用的购物网站，在美团网上，记者选择了上海杨浦区某KTV店销售的代金券，点击购买、付款，渠道畅通，没有出现“无安全证书”的字眼。随后，记者又登录了凡客诚品，选择男装的一款卫衣，加入购物车，并顺利付款。此外，在京东、1号店等记者也均未发现问题。

随后，记者又登录了中华人民共和国中央人民政府门户网站，以及广东、河南、北京、上海、江苏、浙江、武汉、天津、贵州、广州、惠州、无锡等省市政府门户网站，一一点开“新闻”“专题”“政策”“服务”等栏目，均未发现“无安全证书”的现象。

龚小姐告诉记者，目前很多大中型企业、网站，尤其是金融、证券、购物等网站对安全比较重视，但小企业对此重视度不够。就上海CA而言，每个月的申请认证量不是很高，“我们现在每个月申请网站安全认证的企业在几十家左右。”更为关键的原因是，对网站安全认证并不是一条强制性的规定，全靠网站自觉。

记者手记

上“不被信任的网站”怕什么？

在写这篇稿件的时候，记者脑子里经常浮现出第一次在12306上买票时的情景：当浏览器跳出“不安全”提示时，记者第一反应是上了假网站，但又没找到其它网站，胆颤心惊中完成了整个购票过程。在随后的几次购票中，12306都出现这个提醒，现在也似乎习以为常了，甚至当其它网站出现类似提醒时，也都视而不见。

可如今转念一想，这样的后果会是什么？首先，用户会对这个网站的合法性产生怀疑，网站很难获得用户的信任；其次，钓鱼网站很容易模仿，因为真网站、假网站都会报证书错误，用户根本分辨不出来；最后，如果信息传输过程没有加密或者加密手段不够高明，很容易被黑客中途截获并泄露。

既然有这么多可能的后果，12306为何不及早解除购票者的后顾之忧呢？解决方法有二：出资购买符合国际标准的SSL证书，一年三四千元应该不贵吧；或者提升自己证书的实力，达到国际标准。两年多时间，竟然什么都不做，真是尽显“铁老大”风范。

深圳网络公司虎网网络科技提示阅读：12306网上订票需要注意事项

1.一张有效身份证件同一乘车日期同一车次只能购买一张车票，儿童票除外。

高铁

高铁

2.购买儿童票时，有身份证件的儿童请填写本人身份信息，否则填写同行成人身份信息。如填写同行成人身份信息，必须于乘车前办理换票手续，后乘车。

3.购买学生票时，须在常用联系人中登记乘车人的学生详细信息，且必须于乘车前办理换票手续，后乘车。

4.购买残军票时，必须于乘车前办理换票手续，后乘车。

5.网站互联网售票时间原则为每日7点至23点，车票预售期为12天（含当天），与代售点、车站窗口预售期为10天。

6.认准互联网订票网站以.cn结尾，最后域名为“com”的类似同名网站已被证实为钓鱼网站，旅客在网上购票时切不可因大意而上当受骗

制作购物网站要以完成转化为目的

    然而仍然有很多企业花费钱财构建自己独立的购物网站。谈起这个很多人思路肯定是栏目众多功能复杂，电商网站可以足够容易。不让顾客分心，别妨碍他们买东西，干扰的设计元素越少越好，由于无数的事实已经证明制作购物网站越简洁客户体验会越好。在网站制作中确保遵循的是实践，帮助用户完善体验。不论追求的是视觉好看还是设计简约，都是以完成转化为目的关键。 制作购物网站要以完成转化为目的 　　网络已覆盖绝大多数客户的生活...

       FTP简介_什么是FTP及FTP常用工具 FTP是File Transfer Protocol（文件传输协议）的缩写，用来在两台计算机之间互相传送文件。相比于HTTP，FTP协议要复杂得多。复杂的原因，是因为FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。 FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。 PORT（主动）方式的连...

       怎样让你的网站受百度欢迎 首先到网站登录提交你的网址；只需提交网站首页，内部页面百度会自动抓取。 给每个网页加上与正文相关的标题。如果是网站首页，则标题建议使用站点名称或者站点代表的公司/机构名称;其余内容页面，标题建议做成正文内容的提炼和概括。这可以让你的潜在用户快速的访问到你的页面。 请不要在标题中堆积与正文无关的关键词。 确保每个页面都可以通过一个文本链接到达。百度无法识别Flash中的链接，这些单元上的链接所指向的...

       虎网网络建设企业分析网站开发技术的对比 在主流网站开发技术的对比之前，虎网 网络建设 企业分别简要介绍一下ASP、PHP和JSP技术的一些特点。 　 　一、ASP的特点 　　结合HTML标签，编写简单，可实现快速开发;无须编译，可在服务器端直接挑氏行;与浏览器无关，客户端只要使用可执行HTML码的浏览器，即可浏览ASP所设计的网页内容;ASP能与任何ActiveX Scripting语言兼容。除了可使用VBScript或JScript语...

       乌鲁木齐网站内容至关重要,对SEO影响很大 只有新鲜的原创内容才是流的网站内容。 陈年日事或是东拼西凑的内容对网站甚至是弊大于利。前面已经说过，高质量的内容能吸引用户不断地光临网站。当用户成为网站的回头客时，网站的排名也会随之上升，因为在搜索爬虫看来，高质量的网站无疑是热门网站。反过来，糟糕的网站内容也会将网站推入黑暗的深测。如果网站上的内容漏洞百出、文不对题，搜索引擎爬虫很快就会开始不断地降低网站的排名，直至将其踢出排名。 怎样判断网站...

       如何能够增加网站外链 一：主动提交网址，增加外链。 一般情况，你不提交网址搜索引擎，百度、Google也会收录的，提交网址主要是提交给一些导航站、收藏站或web2.0站。这类站一般都有提交网址入口。例如，我搜索独立博客导航就会出现一堆博客导航站，打开一个提交一个。其实也不用可以去这样做，这类站太多了，平时遇到了就提交，遇不到就算了。 二：通过友情链接增加外链。 通过友情链接来增加外链，卢松松个人感觉作用不大，毕竟友情链...