来源:蜘蛛抓取(WebSpider)
时间:2015-01-24 12:49
标签:
铁路官网12306
今天悲催地订了一天火车票,结果钱被12306吞了,银行交易记录显示钱已经划了,确认短信和邮件都收到了,但是在12306上面就是不显示自己的订单,估计遇到报道过的划钱但是订单实际不成功的情况了。 有没有人和我一样啊?求解答,怎么把钱要回来?? 现在12306电话是永远打不通,连12306铁道部的网站都因为系统太忙登陆不了。 有没有人知道哇? 今天悲催地订了一天火车票,结果钱被12306吞了,银行交易记录显示钱已经划了,确认短信和邮件都收到了,但是在12306上面就是不显示自己的订单,估计遇到报道过的划钱但是订单实际不成功的情况了。 有没有人和我一样啊?求解答,怎么把钱要回来?? 现在12306电话是永远打不通,连12306铁道部的网站都因为系统太忙登陆不了。 有没有人知道哇?
楼主发言:1次 发图:0张
12306进行网上订票付款后不出票,铁道部门称15个工作日解决 2012春运火车票预售期已正式开始,8684最新列车时刻表近日在各大论坛中,发现有很多市民反应在铁道部网上订票网站订购火车票的时候,出现付款后不出票的现象。 猫扑论坛一网友反应:“今天早上起床打开铁道部网上订票官网, 选择了两张深圳北-到广州南1月2号的广深高铁票。 当我熟悉的打开网银支付成功后,返回 。竟然显示的是订单失败。 我以为是我操作失误,所以又选择了重新支付一次,结果还是一样,钱从银行里面扣了,可是火车票却没有订成功,而我还傻傻的支付了两次,总共300元 。可是在我的 12306官网里面没有任何订单信息。 我急了,赶紧拨打12306铁路客户服务中心的客服热线:12306,结果打了几个小时都没打通..... 我去搜索一下,发现和我一样经历的人很多很多,我加了一个群,群里面的人都是钱扣走了,订票没成功的,大家都不知道怎么办。客服电话打不通,不知道找谁去要被扣的钱。 维权无门,只能干等...” 在几个春运qq群中有人称通过储蓄卡支付,眼见显示购票不成功,便在网上反复付款好几次,却依然没能成功购票。很多市民多次拨打客服电话12306,却始终是忙音。 8684火车也尝试拨打12306铁路客户服务中心客服电话,却一直无法打通。 事件连线: 新京报讯(记者王卡拉)近日,有网友反映,通过网站订票,问题频出,数百人票款被扣却订票失败。对此,中国铁路客户服务中心表示,会尽快解决问题,多扣票款会在15个工作日内退回。 数百人钱被吞票未得 网友阿蒙称,他通过网站订了日的K932次火车硬卧票两张。在线支付后,他收到银行发来的消费提示短信。可网页显示的依旧是“待付款”。“票没订成功,钱出去了。” 因不断有人反映网上订票被吃钱,网友自发建QQ维权群。阿蒙称,至昨日已有400人入群,现在还不断有人要加入。昨日,“12306吃钱没出票”QQ群已发展为3个群。 网友们反映,在线支付划账成功,但网站却显示付款失败。有的网友甚至多次付款成功仍订票失败。 网友“梦断江南”称,他是一名学生,给30个同学买票,因网络一直提示不成功,他就重复了付款过程,导致1万元被划走。“助学金刚打下来,就全进去了。” 网友rusue指出,仅留的票钱被扣,可能很多人回家就是一个大难题。多名网友呼吁,希望网络订票系统尽快完善。 网站称系统正在调试 因订票失败,没有订单号,空手无凭据,订票者们担心被扣的票款无法追讨。而12306热线异常火爆,网友反映打不进去。即便打进去,回答也不尽如人意。 事件跟踪: 就旅客反映的各种情况,如订票网吞钱不出票、订票网站打不开、12306铁路客户服务中心热线接通难等问题。对此,记者采访了铁道部运输局负责人。 记者:近日,网上有不少旅客反映,铁路网上售票的订票网站打不开等问题。 答:许多新措施和相关设备设施是第一次迎接春运客流高峰考验,还在不断健全完善之中。 记者:有旅客反映,铁路12306网站网速慢,购票时间长,余票不能查询? 答:12306网上订票业务,是今年6月12日投入运行的,现在逐步增加功能,实现所有列车网上购票。春运期间,每天访问量比平时增长数十倍,高峰期持续时间长。目前,我们正在不断优化相关程序,完善设备设施,增加网络带宽。
网站显示支付未成功,但是12306会有邮件到你的注册邮箱提示你购票已成功。 在12306网站上是看不到购票记录的。 如果你注册12306的时候用的邮箱不对,那就悲催了
记者:有的旅客反映,在铁道部网上订票网站订票时,订票网吞钱不出票。这是怎么回事? 答:首先,这种现象是极个别的。请旅客放心,如果车票没订上,钱被扣了,根据人民银行关于银行卡使用的有关规定,银行会在15个工作日内,把钱返还到您的账户上。出现这种情况,主要是因为网络购票有一定时限,必须在30分钟内完成,如果超时,票额就会重新返回售票系统,造成票没订上,钱被扣了的现象。从12月31日起,增加网络购票支付时限,减少支付成功购票不成功现象。 这个是个别现象吗??已经几百个人在网上寻求帮助了! 记者:为什么有时铁道部网上订票网站查询无票但到代售点能买到票? 答:今年春运仍存在电话订票取票率不足。从目前掌握的情况看,电话订票的取票率平均为50%-60%,最低仅为38%,也就是说很多旅客订到车票后并没有取票。这部分被占用的票额,在取票期限到达后,会再次返回到客票数据系统中重新发售。由于多种方式同时售票,春运火车票额始终是在动态变化之中,所以会出现12306网站查询无票但到代售点又能买到票或者相反的现象。 为嘛电话订票买不着,代售点却有票呢?代售点收取每张5元的手续费,而且设立代售点每年是要向铁道部缴纳几十万费用的(前几年好像是20万-30万,还得有关系才能拿到经营权),所以火车站会保证代售点有票的。 记者:12306铁路客户服务中心热线电话为什么总是打不进去? 答:12306客服电话是今年元月正式开通的。客服人工电话难打通,主要是旅客咨询需求量激增造成的。我们将增加线路、接线人员,与电信部门合作等方式,努力解决电话难打通的问题。 为嘛打不进去,就是接线的人太少了呗,与电信部门合作啥啊,不愿意花钱提高服务才是真的,报给声讯台多好啊,花不了几个费用的铁盗部! 记者:网上订票如何取票?旅客在网络订票后,取票为什么还要排长队? 答:铁路部门综合考虑窗口售票和网络、电话售票的取票,实行车票取售分开措施,在车站单独设立了取票窗口,并要求社会上具备条件的代售点也要有取售分开设备,提供旅客取票服务。2012年春运,铁路部门尽最大能力增加售票窗口,全路共开设售票窗口23340个,同比增加了4244个。下一步,铁路各车站要密切掌握售取票情况,随时调整取票窗口和人员。 为啥排长队啊,不愿增加人手呗,愿意做火车的都是社会中下层,铁道部觉得这些人好捏呗! 问答的最后,铁路部门工作人员提醒广大旅客 乱点击可能重复扣款。武汉铁路部门一工作人员说,遇到票款被划扣但车票预订却没有成功的情况,千万别着急,胡乱点击有可能遭遇重复扣款。付款最后阶段遇支付问题,不要点击页面上的“返回”键、“提交”键、“更新”键或关闭窗口,以免多次重复扣款,如遇到扣款成功但购票不成功的情况请尽快致电客服电话12306,工作人员将协助进行处理。 这个提醒就是推卸责任啊,意思就是扣款没出票那是你顾客乱点导致的。我这个5分钟内完成付款,立即收到短信和邮件确认但在2306网站仍然没有成功订单,怎么解释呢??
@八字纯阳
17:46:13 网站显示支付未成功,但是12306会有邮件到你的注册邮箱提示你购票已成功。 在12306网站上是看不到购票记录的。 如果你注册12306的时候用的邮箱不对,那就悲催了 ----------------------------- 对啊,我已经收到邮件啦,这样就说明订单成功了么? 另外,12306网站是可以看到购票记录的,我发现这个票没有出现订单后马上买了另外一张票,可以看到订单,显示订票付款都成功,很清楚的。
以邮件为准。另外我也收到了短信提示。 12306这么坑爹的网站,我登陆一次容易么??
就是啊,我都折腾一下午了,就这个结果,还不如冒着严寒去排队呢,坑爹的是今年开通网站和电话订票后,加上2天的差距,估计排队几乎是买不到票的。
投诉无门啊!!!
还是提前几个小时去售票点排队吧!或者电话订票!
那我平白无故被扣的钱怎么拿回来呢?刚才在贴吧看过了,有人去火车站去问了,人家说哪里买的找哪里,就是不能帮助处理,还得打12306,问题是12306也得打得通才行啊!
网上订票就是拿来充场面给上面交代,哥我死活进不去
刚才在贴吧看到有人打打了26块钱都没有订到票啊,这个是铁道部和电信局联合起来赚钱啊。。。到网站买票,被扣款不出票,打电话买票买不到扣电话费。。。。 铁道部真的坑爹。。靠这个能赚回贪污腐败亏空的几百亿么???!!!估计也差不多哈。。。
@27年陈酿
18:24:47 网上订票就是拿来充场面给上面交代,哥我死活进不去 ----------------------------- 进不去还好哇,至少没有被吞钱啊。
刚才在贴吧看到有人打打了26块钱都没有订到票啊,这个是铁道部和电信局联合起来赚钱啊。。。到网站买票,被扣款不出票,打电话买票买不到扣电话费。。。。 铁道部真的坑爹。。靠这个能赚回贪污腐败亏空的几百亿么???!!! 不知道我今天打了一下午订票电话还扣了我多少钱。。。
/publicforum/content/free/1/2352747.shtml 大家看看还有多少人掉进铁盗部挖的坑里了。。
日,12306网上买票,经过各种登不进去,验证码错误,各种等候,刷新,没票,终于找到2张硬卧票,下订单后付款,经过各种网络卡、网页错误、系统忙,终于付了钱,妈的,这次显示得非常快,订单没成功,请重新付款。 就是这样,12306吃钱不出票。打电话给铁道部,他说钱在银行,15个工作日返钱;然后打电话到银行(建行),他说钱在商户(铁道部)那,等商户给钱了他们就第一时间返还。我去,这是打太极啊,谁来维护我们的权益?人太多买不到票也就认了,妈的还要逼我们跪着给他送钱,然后跪着求他还钱。 我加了12306吃钱不出票群(1群:(己满),2群:群:6462621新建群,请新加入群的同学先到群邮件中将自己的情况发上去,方便媒体和我们的热心网友来做统计。),现在已经有1000余人是这样的情况了,铁道部(银行),你们敢出来个人说话么?
吹nb呢
楼主我告诉你: 首先这都是雷击惹的祸,不是我铁道部的错; 其次这事该刘志军责任,跟我们这些还没犯事的没关系。
@八字纯阳 17:46:13 网站显示支付未成功,但是12306会有邮件到你的注册邮箱提示你购票已成功。 在12306网站上是看不到购票记录的。 如果你注册12306的时候用的邮箱不对,那就悲催了 ----------------------------- 没购成功的票被扣的钱还扣不扣手续费了?这个12306真是把人害惨了,还不如我去火车站排队买票,不知道这个12306是进步了还是为难旅客呀!!!!!!!!!!!
公布一茶托电环和QQ号 在某网站结实一北京女人,其主动加我QQ号,并主动要求见面,于是在第二天见面后指定到某茶楼喝茶,并且自己点了茶水和两盘小食品,前后坐了一个小时,最后结账460元,可恶的茶托! 花点钱不要紧,前后浪费时间太多了! 茶托电话: QQ号: 、
如果遇到票没订成功但是钱已经扣掉了,哎惨呀,这是谁的错,那没购成功的票被扣的钱还扣不扣手续费了?这个12306真是把人害惨了,还不如我去火车站排队买票,不知道这个12306是进步了还是为难旅客呀?为什么火车站不售前12天的票,网上网买,又登不上,等登上了,票已经没有了,那请问不会上网的人是不是就买不到火车票了,像我这样天天和电脑打交道的人都买不到,那其他不会电脑的人岂不是只有回不了家了,哎!!!!!不公平呀!!!!!!!!!
大家看看这个贴,说说是怎么回事? 近期这么多关于网络订票的问题,难不成跟它有关系? /publicforum/content/free/1/2356658.shtml
钱扣了,邮件也收到了,还查什么呀,直接去拿票就可以了,有什么悲剧的!!!
关注北京女托,自称:林霞
算了不说你了,拿着身份证到最近的售票点问问订单成功没。
我也是订了票钱也付出去了,却显示付款未完成。没收到邮件也没收到短信。
今天下午四点多,钱已经支付成功,回来点“支付成功”按钮时,却说系统忙!!没收到邮件,也没收到短信!!
我刚刚遭遇12306吃钱不出票,我可是花了整整一天来订票,反复登陆,反复下订单,反复付款,TM的,最后钱扣走了,票倒提示没订成功,调试?还在调试,花大钱就搞出这破玩艺,连Tm山寨的十分之一也没达到阿!是不是核心没买老外的技术?难道这就是中国特色,花钱养一群废物加蛀虫!还15个工作日退,为什么不体谅一下我们回家的心?15个工作日之后我都没钱买票了,怎么办?扣钱的时候一秒都等不了,吐钱的时候就让我们等15个工作日,凭什么?凭我们老百姓蚂蚁一样任他们践踏吗!我非常爱国,可我的国家爱我吗?爱我吗?
我第一次给自己和家人订的两张票还是非常顺序一会就好了,第二次第三次帮朋友订的也都成功了手机邮箱都有相应信息,然后第四次同事要我帮他代购三张,居然扣款成功,显示订票失败,真郁闷 该怎么办啊。打12306电话咨询也打不通。
好消息,我帮同事订的那三张扣款成功了但没显示订票成功的票 也没收到票的邮件, 之前以为是失败了,急的很,还以为钱回不来了,谁知道我同事拿着身份证去领票 领票处给她票了,说订成功了。大家还是再刷新查看下订单在不在吧,说不定和我一样订成功了。
1月8日也是花一天的在12306订票,丫的,扣我的钱,没收到短信,不给我票。太坑爹,太他妈垃圾网站;登录卡,下订单卡,付款还是卡; 银行付款成功,妈的他还不能保证一定能收到银行回的付款成功信息!!真不是做网站的人天天在干什么;
烂系统害人啊,我也遇到了这样的经历,付款成功却没有收到邮件和短信。。。
好心帮人家订火车票最后弄个不明扣款!324元。
我也遇到了这种情况。大家加QQ群
3张卧铺,1100多元,没了,顶
问题是我12月22号买的票钱被扣了票没买着,说是15工作日退款给我,今天是2012年的1月10号了钱也还没退呀。何止是坑爹呀,爷爷都坑了也没退钱呀
晕菜 ,今天大早起来帮朋友买张票 ,钱付了 ,尽然还付款成功了。 结果什么信息都没有收到,什么手机邮箱撒都没有消息,钱到哪去了都不知道,真不知道铁道部的系统是怎么做的 。看来网络订票还是悬,上级部门引起重视。
12306 cao 你18代祖宗。。。。。
@爱皮雯雯 17:26:15 我刚刚遭遇12306吃钱不出票,我可是花了整整一天来订票,反复登陆,反复下订单,反复付款,TM的,最后钱扣走了,票倒提示没订成功,调试?还在调试,花大钱就搞出这破玩艺,连Tm山寨的十分之一也没达到阿!是不是核心没买老外的技术?难道这就是中国特色,花钱养一群废物加蛀虫!还15个工作日退,为什么不体谅一下我们回家的心?15个工作日之后我都没钱买票了,怎么办?扣钱的时候一秒都等不了,吐钱的时候就让我...... ----------------------------- 排,我cao 他ma的。我问候祖国18代祖宗。。。cao !!!!!!!!!!!!!!!!!!!!!
铁道部中饱私囊,是板上钉钉的事!但是没人敢去搞他啊!有什么办法呢?退款有个很详细的流程,我贴出来给大家/chunyun_tuikuan/
问候铁道部它娘!!!
我也悲催的被吞钱538元,查不到订单。哭啊!
凉拌!
我刚刚买票,第一次的钱银行提示支付成功,但是12306还提示我订单未支付成功。我担心我买不到票,所以又支付了一次,第二次支付成功了,但是我银行提示我支付了两次,那么我第一次钱还是被扣了,我该怎么办
这坑爹的网站,我的钱也被吞了!
不要这么悲催,大家如果是在网上买票的话,你们可以试下网上买票外挂软件: 最新免费:自动登录,自动订票外挂插件(firefox,chrome,google浏览器专用,下载地址: /thread-.html 最新:火车票刷票插件软件使用教程(图文教程) /thread-.html 祝大家早日买到火车票,回家团圆!!!
真是想死,今天登陆了千百次终于进去了 提交订单一直繁忙 好不容易可以提交了 但是钱付了 页面没跳转 车票一直显示的是待支付状态 气的我抓狂 既没有邮件 也没有短信 最后票没买到 钱却被吞了 都快急死啦
我的扣款成功,也没有短信和邮件,打了一个12306的客服电话,终于被我打通了,不理我,还说会退款的,具体什么时候退,没回答,是一个厚重声音的男人接的,根本不是什么客服,我连续说了几次你好,请帮我查一下,人家来句听不清楚我的话,火大,
我的怎么支付成功。订单号也发我手机上了,进去查订单,只查到一个订单,我下了二个订单啊
郁闷呀。我的也是 一张票付了两次钱。不知道怎么办。12306老是忙线。打不进去。
郁闷呀。我的也是 一张票付了两次钱。不知道怎么办。12306老是忙线。打不进去。
弱弱地问一句 有15个工作日过去了 还是没有收到退票钱的 童鞋麽
那个订票网真是做的稀烂
@Core辉 13:22:38 我刚刚买票,第一次的钱银行提示支付成功,但是12306还提示我订单未支付成功。我担心我买不到票,所以又支付了一次,第二次支付成功了,但是我银行提示我支付了两次,那么我第一次钱还是被扣了,我该怎么办 ----------------------------- 我3号也曾付两次款,在订单里查买了两张一样的票,后只好退了一张,465元扣手续费23元,昨天又出现付款成功,而交易失败,我没再买,查订单已支付,估计订上没问题,吃一堑长一智呀
@yhpoo02 11:26:50 郁闷呀。我的也是 一张票付了两次钱。不知道怎么办。12306老是忙线。打不进去。 ----------------------------- 不用打你查一下你的订单估计两次都买上了,退一张就是啦,钱很快到账只是要付手续费,其实付款成功90%就订上了票,我订三次票出现过两次。
@jnzip 21:24:02 我的扣款成功,也没有短信和邮件,打了一个12306的客服电话,终于被我打通了,不理我,还说会退款的,具体什么时候退,没回答,是一个厚重声音的男人接的,根本不是什么客服,我连续说了几次你好,请帮我查一下,人家来句听不清楚我的话,火大, ----------------------------- 估计你的票订上了,你查一下你的订单看看。
先马克… 再看贴…
@把我的钱吐出来 15:23:13 真是想死,今天登陆了千百次终于进去了 提交订单一直繁忙 好不容易可以提交了 但是钱付了 页面没跳转 车票一直显示的是待支付状态 气的我抓狂 既没有邮件 也没有短信 最后票没买到 钱却被吞了 都快急死啦 ----------------------------- 查一下订单就知道啦
@暮蔼晨钟 08:11:29 我的怎么支付成功。订单号也发我手机上了,进去查订单,只查到一个订单,我下了二个订单啊 ----------------------------- 你把它打开看看,应有两份的
小板凳占座,偶也…
哈哈,垃圾铁路是这样的啦。我也经常被他们'讹诈'钱。真的很垃圾。
我今天悲催的遇到了
可是没有收到短信
我钱扣了,短信都没收到,咋办啊?急,,1千块钱呢,,我该去找谁啊?
我今天付款两次找订单还只能找到未成功订单
请遵守言论规则,不得违反国家法律法规同时转发到微博34938人阅读
原文链接 :
&&&&&&&&&&&&&&&&&&&&&&& 在线买火车票为什么要安装根证书?
本文想简单谈谈那个所谓的“根证书”。在访问铁道部网上售票官网
后,有一个醒目的提示,为保证顺畅购票,需要下载安装根证书。那么什么是根证书?为什么买火车票的时候需要下载和安装,在淘宝等在线交易网站购物时候为什么就不需要这样做?
今年开始,人民群众们终于可以通过互联网购买火车票了。虽然说在线买的难度不比以往排队购买低多少,但这总算是一次值得鼓励的尝试。不过在线购票系统一经退出,在技术上就已经被人批得体无完肤。
为了确保安全,很多涉及在线交易的网站,例如网上银行、购物网站等,都会使用SSL技术对页面内容进行加密。SSL技术在这里的主要用途有两个:
确保网站服务器和用户浏览器之间的通讯不被窃听:这一点很好理解。SSL属于一种,简单来说,一个SSL证书分为两部分:公钥和私钥。其中私钥会被网站所有者妥善保管,并在服务器端用私钥将网络通讯全部加密;而公钥会在网上广为传播,一个公钥加密后的数据只有用所对应的私钥才能解密。因此只要SSL证书本身可以保证安全,那么在访问网站的时候就可以保证网络通讯不被他人所窃取,并且如果有人进行,因为没有相应的密钥,导致篡改后的数据无法通过校验,因此可以及时察觉。确保网站所宣称的身份真实可靠:这一点也不难理解。网上有个网站叫做支付宝,可如何保证这个网站就是那个真正的支付宝,而不是其他人伪造的钓鱼网站?因此真正的支付宝可以使用SSL证书,这种针对企业用的证书的申请手续比较繁琐,有一大堆审查流程,需要提交大量相关的证明文件,因此可以保证只有真正的某公司才能以这个公司的名义申请证书,只要申请到证书,就可以确信身份的可靠。此外近些年还有一种更可靠的。
试试看访问“”这个域名,随后可以看到,在浏览器的地址栏,“Http”协议后面出现了“s”这个字母,并且IE地址栏的右侧显示了一个锁头图标,因此证明该网站是SSL加密的。点击这个锁头图标后,还可以看到网站所用证书的相关信息。
加密功能基本上没什么需要解释的,因此下文的重点将放在身份可靠性这块。在上图所示界面上点击“查看证书”链接,随后可以看到该网站SSL证书的详情:
上图显示的“VeriSign Class 3 International Server CA – G3”是证书颁发机构,而“”是证书持有人。那么到底应该怎样通过这些信息判断网站是否可靠?
在这里一个很通用的规则是:如果浏览器检测到加密网站所用的证书是正常的,那么地址栏就会显示为绿色(使用EVSSL证书)或者白色(使用普通SSL证书),这种情况下可以放心地浏览该网站,并提交自己的数据;如果浏览器检测到网站的证书有问题,那么地址栏就会显示为红色,提醒我们注意,同时取决于具体情况,地址栏右侧会显示有“证书错误”按钮,而且网站内容不会显示,取而代之的是浏览器的警告信息。基本上主流浏览器的最新版本都已经具备这样的功能。
这个过程的基本原理是:假设我们信任A公司,而A公司信任B公司,那么我们就可以信任B公司。很明显,“”的证书是“VeriSign Class 3 International Server CA – G3”颁发的,这表示后者信任前者,可以证明前者的真实身份,但是我们又凭什么信任后者这个证书颁发机构?
上述文字里不止一次提到“信任”一词,那么“信任”在这里是什么意思?是否像我们平时讲话时说的“我信任他”那样,代表我们相信他是个好人,不会干坏事?其实完全不是这样。这里所说的“信任”,只是说明证书持有人的身份是真实可靠的,至于持有人用这个证书干什么事情,不在“信任”的范畴内。例如,网上很多臭名昭着的恶意软件,现在都带有数字证书(倒是很多正规用途的软件因为开发商缺乏安全观念不带证书),同时因为这些数字证书的“根”都是我们信任的根证书颁发机构,因此,操作系统和浏览器是信任这些公司的身份的,但并不代表这些公司的软件不会干坏事。只要肯花钱,任何人都可以在商业性质的证书颁发机构买到直接被我们的系统所信任的证书。
其实Windows和任何操作系统本身就包含一些受信任证书颁发机构的根证书,要查看这些根证书,可以运行“certmgr.msc”打开证书控制台,然后从控制台窗口左侧的控制台树中依次进入“证书-当前用户”→“受信任的根证书颁发机构”→“证书”,随后右侧的窗口中会显示本机预置的所有根证书颁发机构,其中就有“CA – G3”,这表示我们信任“CA – G3”,而“CA – G3”信任“”,因此我们可以信任“”。如果从证书控制台中删除“CA – G3”的根证书,表示我们不再信任它,那么它所信任的公司也将不再被我们信任。
按照上文的方法打开证书控制台,并进入到“不信任的证书”→“证书”节点后,还会发现里面列出了多个颁发给大量知名企业的证书,例如Microsoft、Google、Skype、Yahoo等。为什么会不信任这些大牌互联网企业?就是因为某家根证书颁发机构被黑客攻破,导致这些大企业所用的证书私钥被窃取。因此为了保证安全,这些被盗证书已经被吊销。因而将原本被盗的证书都添加到“不信任的证书”节点下,这样盗取证书的黑客就算使用这些证书给病毒签名,伪装成这些大企业,也会因为证书吊销的缘故不会让人轻易上当。这家倒霉的公司就是荷兰的,该公司因为这次事件现在已经破产,而从中也足以证明证书吊销机制的重要性。这一点会在下文详细介绍。微软已经通过补丁将受影响的证书全部设置为不信任。
这里要重点提出“根证书”这个概念,全世界具有提供数字证书业务的公司有很多,而Windows自带的“根证书”很少,默认情况下,我们是如何信任这么多不同公司颁发的不同证书的?其实这就是“根”这个字的含义,因为可以颁发证书的公司虽然很多,但最基本的根证书颁发机构只有有限的几个,默认情况下都是被操作系统所信任的。那么既然操作系统能信任根证书颁发机构,自然也就可以信任被根证书颁发机构信任的公司,进而可以信任被这些公司所信任的下一级公司。
如何证明这一点?可以单击上图中的“查看证书”链接,随后打开“证书”对话框,切换到“证书路径”选项卡后,可以看到下图所示界面。从该图中可以看出,整个证书信任链的路径分为三个层次,最顶层的是我们信任的根证书颁发机构,该机构给“International Server CA – G3”颁发了证书,因此,我们信任“CA-G3”;随后“CA-G3”又给“”颁发了证书,因此也可以信任“”。如果“”再给别人颁发证书,那么这个人的身份依然可以被我们信任。
而铁道部的在线订票网站并没有走这个一般意义上,涉及金融交易的商业化网站都严格遵守的方法。也就是说,铁道部并没有花钱在商业性质的CA(证书颁发机构)购买受信证书,他们直接自己给自己颁发证书。这样的做法一般主要是用于测试或学习等非正式场合,但如果一个商业化网站想要正式上线运营,通常并不会这样做,因为对用户来说风险太大。
当我们查看 这个网站的证书信息时就会发现,这个证书根本没有一个有效的受信任CA,完全是自己给自己发着玩的。
上图信息显示,该证书的颁发者以及根证书是“SRCA”,不知道这个缩写代表什么意思,可能是铁道部内部的某个系统。因为SRCA的身份不被系统自带的任何一个根证书所信任,因此网站所用的证书默认也不会被任何一个系统所信任。因而铁道部要求安装根证书的原因,就是让访客将这个证书手工添加到“受信任的根证书颁发机构”节点下。
很遗憾的是,这种做法虽然很不安全,可国内的大佬们很喜欢使用。例如在我的系统中,这里就有建行和工行网银自行添加的根证书。
那么这种做法除了能省几个钱之外,对用户来说有什么危害?
在订票的很多人可能会看到过“该站点安全证书的吊销信息不可用,是否继续”这样的信息。这是什么意思?
还是以上文那个DigiNotar的例子来说,假设某个大型CA被攻击,私钥被窃取,这时候有两种方法尽量避免损失:
类似Windows补丁这样,由软件厂商通过发布更新的方式,将被盗证书强制设置为不信任。使用(CRL)。
第一种方式比较好理解,但并不是所有公司都能获此殊荣。毕竟主流操作系统的用户数量庞大,根本不可能针对一个地区性的,或者规模很小的公司的被盗证书发布更新,强制不信任。因此第二种情况就至关重要了。每个证书中都包含CRL,其实这个可以理解为一个网址,通过这个网址可以获得证书吊销的相关信息。
因此如果一个小公司通过商业性CA购买的证书被盗了,只要将相关信息告知CA,这家CA就会将这个证书的内容添加到CRL中。随后任何一个用户在执行涉及到证书的操作,例如安装带有数字签名的软件,或者访问SSL网站的时候,系统都会通过这个CRL地址检索吊销清单,并查看当前软件或网站使用的证书是否位于清单中。如果不在,就证明这个证书依然是可信任的;如果在,就证明该证书已经被盗,因此软件或网站存在仿冒的可能。
而因为使用了自己给自己颁发的证书,因此也就根本无法在自己的证书中包含CRL信息,所以会看到“吊销信息不可用”的提示,这意味着浏览器在告诉你,你所访问的网站,不一定能完全证明其可靠,这可能是真网站,但也有是钓鱼网站的可能。
而如果的证书私钥丢失或被盗(看看去年底的大规模泄密事件,谁敢保证没有这种可能性),持有该证书的人想要伪造一个钓鱼网站,或者以铁道部的身份发布恶意软件,那真是轻而易举,并且铁道部对此会束手无策。
毕竟在线购买火车票的人全都安装了这个根证书,而该证书根本无法通过CRL吊销。此外还有一个更重要的问题,如果盗取该证书的人继续使用“SRCA”的身份给其他人以其他身份颁发证书,例如以银行或支付中介的名义,结果会怎样?因为所有在线购买过火车票的人,由于根证书的关系,系统已经信任SRCA的根证书,因此这些伪造的证书也会直接被信任。最坏的情况下,所有热门的SSL加密网站(购物、银行、股票….)要想被伪造都是轻而易举的。
什么意思呢?如果某天你访问的“支付宝”网站的证书信任链是下面这样,你觉得会是什么后果?
真心希望这种情况永远不会发生。同时更加希望国内这些大佬们有更多安全意识,尽快认识到目前这种做法的不足。商业受信证书虽然需要花钱买,但不是太贵,真的!
当然,上述希望可能永远不会成真,因此作为一般用户,如果你已经成功在线购买到火车票(恭喜你啊,你要不要去买个彩票试试手气),那么建议你在“受信任的根证书颁发机构”节点下将SRCA的根证书彻底删除。
本文部分内容节选自我的原创图书《》。
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:55988次
排名:千里之外
(1)(2)(3)(10)
