12306的自签根证书真是神通广大

December 1st, 2015 Leave a comment Go to comments

今晚逛v2ex的时候看到有人说12306根证书的权限问题,也打开证书管理器看了下,结果吓了一跳:这货获得的权限比国产安卓软件还要疯狂,除了它本职的服务器认证,还拥有其他一大堆权限,比如代码签名、驱动程序签名等等等等。把这个证书放入被信任的根证书列表,就相当于在机器里开了一个大后门,12306及其背后的机构想偷偷给你装个什么软件,甚至什么驱动程序都有可能。在epay.12306.cn都已经申请了正规商业SSL证书的今天,主站依然强制用户导入它自己的根证书,背后的企图让人不得不往坏的方面想。

和之前支付宝插件的后门程序一样,既然被我知道了就不能放过它。
当然,可以不导入证书,无视浏览器的warning继续购票,
如果导入了证书,完全禁止证书可能会影响购票,所以只能将其作用域限定在它本职的服务器认证上,步骤记录如下。
注:本人用的是英文版win10,中文版的就看样子来吧。点击图片可看大图。

Win+R,输入mmc后确定,打开控制台界面:
0

点击菜单栏的File -> Add/Remove Snap-in:
1

在弹出的窗口左栏中选择Certificates(证书),再点击中间的Add按钮,添加到右栏后确定。在弹出的窗口中选择My user account后点击Finish。
2

现在控制台界面就变成下图这样了。接着按步骤来:
1. 点击左边的Certificates Current User-> Trusted Root Certification Authorities(受信任的根证书颁发机构) -> Certificates
2. 找到SRCA这个证书,双击它
3. 新开窗口中,选择Details选项卡,并找到Key Usage这一项,选中它以后,点击下面的Edit Properties按钮
3

选中Enable only the following purposes单选框,然后下面的一堆复选框中,只保留Server Authentication(服务器身份验证)选中,其他全部取消选中。这时候看看12306给自己加了多少权限吧。完成后点击确定退出即可。
4

这样就差不多了。还有一处应该改不改都行,为了心里舒服还是一起改了吧——
控制面板->Internet选项->内容->证书,
受信任的根证书颁发机构选项卡中,同样选中SRCA这个证书,点击高级按钮,
那堆复选框同上处理。
5

OK,世界安全了一点,心情更舒畅了。

本文为悠然居(https://wordpress.youran.me/)的原创文章,转载请注明出处!

声明: 本文采用 BY-NC-SA 协议进行授权. 转载请注明转自: 12306的自签根证书真是神通广大
  1. No comments yet.
  1. No trackbacks yet.