@
Reficul #86 私钥是没放出来,但是也不排除可能有谁持有这个私钥。作为非权威机构,不能保证他们能够很安全地保存证书私钥。所以,在证书到期之前都算是一个定时炸弹……
@
lintj #115 并没有劫持,只是之前 12306 匪夷所思的没有使用权威机构的数字证书,而是将首页设置为未加密的 HTTP 连接,然后在首页提供一个自签名的证书。如果不安装这个证书的话,在进入买票的页面的时候就会提示证书不受信任了。官方诱导用户去以 HTTP 协议下载根证书并安装为可信颁发机构。
如果不存在中间人的话,那装不装证书都 OK ;而如果存在中间人攻击,因为首页是 HTTP,所以首页的证书是很容易被替换的,也就是即便装了证书也不能保证安全,甚至后果更严重(安装了中间人的证书)。
确实至今 12306 的那个根证书没有发现被利用来做什么坏事(是没有发现,不敢 100% 说没有,不要产生恐惧,也不要放松警惕),这是好事,但是没人知道那个根证书弃用之后是怎么处理的,是否还有人持有证书和私钥文件?这不得而知,所以,至少在那个根证书过期之前,可能都是一个定时炸弹。