中国铁道部官网简介
中国铁道部官网,正确的名称应该是“中国铁路客户服务中心”,俗称12306网站,是中华人民共和国铁道部下属的信息服务网站,基于中国铁道科学研究院所设计的“铁路客票发售及预订系统”创建。
12306互联网购票系统是基于中国铁路客票发售和预订系统(以下简称客票系统)这一核心系统构建的。该客票系统于1996年6月被列为“九五”国家科技攻关计划,98年又列为“九五”国家科技攻关计划重中之重项目。2000年,该客票系统获得国家科技进步一等奖、“九五”国家科技攻关计划重大科技成果,同年在美国获得COMPUTERWORLD SMITHSONIAN国际信息技术奖,2006年,获中国计算机学会王选奖二等奖。
12306网站于2010年1月30日(2010年春运首日)开通进行试运行。用户可查询列车时刻、票价、余票、代售点、正晚点等信息。售票系统在北京时间每天23:00至次日7:00进入维护,期间不提供服务。
2013年12月6日,改版后的12306网站上线。新版网站增加了自动查询、自动提交订单、有票提醒等功能,但是并未增加之前流传的自主选座等功能。
12306网站支持银行卡网上支付,也可使用银联在线支付。
2013年11月20日,12306新增支付宝支付通道。
2013年12月8日,12306手机客户端正式开放下载。当天这款应用的iOS版便上登上苹果App Store中国区免费榜第一名。
在新版订票页面中,中国铁路客户服务中心使用了HTTPS以加密数据,但是中国铁路客户服务中心并未采用得到广泛认可的数字证书认证机构的证书,而是采用了由其自己签名的证书,证书机构的名称为“Sinorail Certification Authority”(SRCA)颁发的证书。
当浏览器检测到其根证书库当中没有“SRCA”这个证书时,就出于安全性的因素阻止用户访问网站。为此,12306网站要求用户手动安装根证书以便浏览器放行。此方法并非对所有浏览器有效,在使用某些浏览器时用户需要单独进行设置。
另外,每个SSL数字证书都有一个密钥。一般密钥一旦失窃,正规认证机构及系统厂商就会宣布此证书无效,对于较小的认证机构,一般为证书设立一个证书吊销列表(CRL),当密钥失窃时,证书会自动被列为失效。SRCA的证书没有CRL,系统厂商也不会专门为此发布一个更新。因此黑客可能会利用这个密钥以SRCA的身份发放证书。一旦黑客把这个证书颁发给了一些恶意网站,安装了SRCA证书的浏览器将放行这些网站,无法抵御由此引发的恶意攻击。为此有人在网络上提出用户在购票之后立刻将SRCA的证书设置为不受信任或者只是单独将购票页面加入浏览器信任列表的建议。
当用户开始进行支付的时候(访问pay.12306.cn的时候),中国铁路客户服务中心就会向用户出示一份Verisign签发的有效证书,但是只能保证用户在支付时的安全,不能保证黑客利用SRCA密钥再次签发假证书制造恶意攻击。