主题：【讨论】回应对12306.cn网站的技术质疑 -- 忘情

除了技术方面，用户的安全意识也很重要，甚至更重要。单纯从技术上来讲，12306自发的证书和VeriSign发的证书没有区别，只是VeriSign的根证书被预制在Windows里罢了，在现今的网络环境里，用户如果对PKI/CA系统如何起作用完全不理解，给什么证书甚至不用证书都点确认的话，那用VeriSign的证书或自签发的证书没有任何区别，很不幸，大多数用户都是这样的人，碰到证书错误提示只会点确定，更别提还有很多人的操作系统都是用来源值得怀疑的“萝卜”、“沐雨淋风”之类的“美化版”安装的。因此12306即使去买VeriSign签发的证书也只能保护少数知道证书错误提示真正含义的用户。当然我并不认为12306自己做证书的行为是正确的，我猜正是假以安全之名，他们才被要求做“自主”的证书。至于链接引文里的CRL问题，是他的PKI体系建设问题。