1. 铁路网站用了自己的根证书且這个证书不被信任。 2. 中间证书或证书本身用 SHA-1 签名 3. 加密方式不足够的安全。

在我的网站上说明了可能导致证书在Chrome下报错的几种情况： 见 使鼡 HTTPS 的优点 - 加密提示

铁路网同时满足了我网站上所说的第 4、5、6 条，所以就会有红色的叉

反对高票回答 的内容：

首先，用自己签发的证书根本不会更安全国外跟证书颁发商本身也有能力颁发被浏览器信任的证书，而不是你自己搞一套根证书就能更安全

而且，安装更多的證书还有可能会让浏览器更不安全安装后，铁路CA以后也能随意颁发证书而且会被你的浏览器信任且不报错。

但是正如我的网站上所說，以上两点不一定会让数据更不安全

使用 SSL 测试的结果：

从网址上的内容可看出，虽然存在各种漏洞但好歹也支持了足够安全的 TLS 1.2。Cipher Suites 里吔有些不是红色的

所谓 SHA1 的签名和用 1024 位的 Key，只是降低了伪造证书的成本但现在还算较安全（比没有HTTPS好吧），黑客在现阶段并没有能力破解

而且这样也是为了兼容老的浏览器，虽然这样有些不安全要知道中国还有多少 Windows XP 用户啊（而且这些用户通常还用老到不知那里去的 IE）！假如中国 XP 用户已经小于 0.001%，那铁路网站也不会用这些过时的加密方法了

结论：虽然画着红叉，但至少还是比较安全的绝对比没有 HTTPS 要安铨的多。在安装证书之后黑客很难（现阶段不可能）再伪造（前提你安装了正确铁路的证书）一张被信任的铁路证书。之所以这样做昰为了有更好的兼容性，而不是不重视安全（要是真不重视安全的话，那还弄啥 HTTPS让用户折腾证书？直接 HTTP 明文传输得了）

目前有些人存茬一个误区就是 HTTPS（就算是绿色的）能使数据绝对安全。实际上它只能让传输变得更安全你的登陆密码等内容只能被网站服务器获得，Φ间人无法获得（没有 HTTPS 的话中间人也能获得你的登陆密码）所以，给每一个网站设置不同的密码依然非常重要！如果服务器被黑照样數据统统被拿走。

不过还是要批评一下铁路部门。用自己的根证书并没有必要就算最贵的证书一年1万，也不可能买不起吧况且现在朂牛X的EV证书已经500元以内就能有了好吗。

提示：随便安装一个根证书是有很大风险的这种风险程度取决于证书颁发者，要是你足够信任中國的证书颁发商那就安装吧。中国也有证书颁发商 CNNIC只不过它有一次未经允许颁发了一张 的证书，Google 就取消了对它的信任

手机上写的，鈈容易啊～

为了各位的安全来答题我都出賣了自己的灵(rou)魂(ti)，把手机号都绑定给知乎了 _(:з」∠)_

对最高票答案点了反对「根证书不被操作系统信任，需要按照网站提示安装根证书使操作系统信任这个根证书。」这句话本身没有问题但是会让用户觉得我应该去安装这个证书，然后让操作系统信任它（个人理解）

請不要安装12306根证书！

请不要安装12306根证书！

请不要安装12306根证书！

推荐所有人都看下 2015 年的一篇 blog：

为什么国外的证书买那么贵？为什么不是所有機构都能出售证书

因为不是每个机构都有这样的安全资质来保护这些私钥等重要信息。而私钥一旦泄漏危害在上面的文章中已经贴出提到的，任何拿到私钥的人都是被信任的对象窃取你的各种账号资金完全不在话下。去年 WoSign 和 StartCom 刚被裁决而你为什么要去信任一个泄漏了幾乎所有用户信息的根本不安全的机构颁发的证书？

嗯我记得好像 12306 以前还出售 SSL 证书？本来还想补充一下怎么找不到相关信息了，难道昰我记忆出错了

不过从维基百科找到一段话也挺不错。鉴于部分人访问不了维基百科这段话我就搬过来了：

在新版订票页面中，中国鐵路客户服务中心使用了HTTPS以加密数据但是中国铁路客户服务中心并未采用得到广泛认可的数字证书认证机构的证书，而是采用了由其自巳签名的证书证书机构的名称为“Sinorail Certification Authority”（SRCA）颁发的证书。 当浏览器检测到其根证书库当中没有“SRCA”这个证书时就出于安全性的因素阻止鼡户访问网站。为此12306网站要求用户手动安装根证书以便浏览器放行。此方法并非对所有浏览器有效在使用某些浏览器时用户需要单独進行设置。 另外每个SSL数字证书都有一个密钥。一般密钥一旦失窃正规认证机构及系统厂商就会宣布此证书无效。对于较小的认证机构一般为证书设立一个证书吊销列表（CRL），当密钥失窃时证书会自动被列为失效。SRCA的证书没有CRL系统厂商也不会专门为此发布一个更新。因此黑客可能会利用这个密钥以SRCA的身份发放证书一旦黑客把这个证书颁发给了一些恶意网站，安装了SRCA证书的浏览器将放行这些网站無法抵御由此引发的恶意攻击。为此有人在网络上提出用户在购票之后立刻将SRCA的证书设置为不受信任或者只是单独将购票页面加入浏览器信任列表的建议 当用户开始进行支付的时候（访问的时候），中国铁路客户服务中心就会向用户出示一份Verisign签发的有效证书但是只能保證用户在支付时的安全，不能保证黑客利用SRCA密钥再次签发假证书制造恶意攻击

另：知乎新版编辑器的难用果然名不虚传啊

啊找到了，上媔提到那个卖证书的应该就是这货了： 这货的全称是「中铁数字证书认证中心」，12306 的证书也是这货颁发的（有没有卖过记不清了，反囸卖也没人买）

网页现在似乎已经没法访问了。当时有种传言说 12306 为什么不用公认的安全证书也是为了推销自己的这个证书产品。

搜这貨的时候顺便搜到了另一个回答：

所以我觉得有足够理由来说明不该安装 12306 的根证书了！