ssl加密技术

【案例分析】如何实现企业SSL证书有效管理和监控?

做~自己de王妃 提交于 2020-03-23 18:37:11
3 月,跳不动了?>>> 2020年3月20日晚间,许多苹果用户看到系统不断地弹窗无法验证服务器身份,包括iOS、iPadOS以及 macOS系统全部如此。 在弹窗中苹果标注不能验证「appleimap.163.com」的身份,简单来说就是这个域名的 HTTPS 证书无法被信任。 至于不能被信任的原因非常简单,网易邮箱忘记给服务器更换新证书,导致原证书到期后无法进行验证。 运维又成了 背锅侠 ,原因很简单,因为运维人员没有在用户之前发现证书过期并及时更换。 值得庆幸的是,该事件在接到用户反馈之后及时更换了服务器证书,未酿成重大信息安全攻击事件,若是对网易用户引起信息泄密事件,运维人员也将沦落“跑路”的下场。 关于数字证书 其实像这类忘记续期和更换数据证书的错误,在很多企业里面都是可能会发生。因为企业内部的应用中,运维面向各式各样的应用系统,这类证书基本都是2年才更换一次。如果没有很好的工具进行检测和通知,则经常被遗忘在运维忙碌的技术支持工作中。 疑惑一: 很多人可能想问,为啥这类情况经常会被忘记,为啥证书有效期不一次性设置100年呢?这样,应用系统可能都下线了,就不再需要考虑证书过期的事情了? 事实上,数字证书一般由第三方的法定数据认证中心机构签发,以数据证书为核心的加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性

看完这篇 HTTPS,和面试官扯皮就没问题了

泄露秘密 提交于 2020-03-17 13:37:24
下面我们来一起学习一下 HTTPS ,首先问你一个问题,为什么有了 HTTP 之后,还需要有 HTTPS ?我突然有个想法,为什么我们面试的时候需要回答 标准答案 呢?为什么我们不说出我们自己的想法和见解,却要记住一些所谓的标准回答呢? 技术还有正确与否吗 ? HTTPS 为什么会出现 一个新技术的出现必定是为了解决某种问题的,那么 HTTPS 解决了 HTTP 的什么问题呢? HTTPS 解决了什么问题 一个简单的回答可能会是 HTTP 它不安全。由于 HTTP 天生明文传输的特性,在 HTTP 的传输过程中,任何人都有可能从中截获、修改或者伪造请求发送,所以可以认为 HTTP 是不安全的;在 HTTP 的传输过程中不会验证通信方的身份,因此 HTTP 信息交换的双方可能会遭到伪装,也就是 没有用户验证 ;在 HTTP 的传输过程中,接收方和发送方并 不会验证报文的完整性 ,综上,为了结局上述问题,HTTPS 应用而生。 什么是 HTTPS 你还记得 HTTP 是怎么定义的吗?HTTP 是一种 超文本传输协议(Hypertext Transfer Protocol) 协议, 它 是一个在计算机世界里专门在两点之间传输文字、图片、音频、视频等超文本数据的约定和规范 ,那么我们看一下 HTTPS 是如何定义的 HTTPS 的全称是 Hypertext Transfer

IIS启用SSL

别说谁变了你拦得住时间么 提交于 2020-03-05 11:18:00
来源: http://www.study-code.com/server/maintain/75651.htm 安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器 之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信,必须为 Web 服务器 配置 SSL 证书。本文介绍如何获取 SSL 证书,以及如何配置 Microsoft® Internet 信息服务 ( IIS ),以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。 一般情况下按照下文中SOP去做是不会有问题的,但是我碰到一个怪问题,安装CA后并没有在 IIS 中产生对应提交证书事情用的虚拟目录,网上搜了好久也没有找到原因,以为是添加CA组件有问题。这时候想起MCSE等证书也许可以帮到的哦,可惜我没有去学。 可能碰到的问题:没有CA认证服务 CA认证服务是Windows的一项服务,在Windows组件安装就好了。 安装了CA后 在IE中访问http://hostname/CertSrv提交证书请求时找不到网页 不要紧 在windows系统路径查找certSrv文件夹,把那个文件夹加到 IIS 虚拟目录( IIS 都没有? 那搞什么SSL啊,先安装一个吧),再访问就可以按照下文操作了

正确启用HTTP/2支持,正确配置ssl_protocols和ssl_ciphers

こ雲淡風輕ζ 提交于 2020-03-01 01:51:22
正确启用HTTP/2支持,正确配置ssl_protocols和ssl_ciphers 玩 · 3931 · 2016-11-11 HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。在开放互联网上HTTP 2.0将只用于https://网址,而 http://网址将继续使用HTTP/1,目的是在开放互联网上增加使用加密技术,以提供强有力的保护去遏制主动攻击。 HTTP/2 的优势 相比 HTTP/1.x,HTTP/2 在底层传输做了很大的改动和优化: HTTP/2 采用二进制格式传输数据,而非 HTTP/1.x 的文本格式。二进制格式在协议的解析和优化扩展上带来更多的优势和可能。 HTTP/2 对消息头采用 HPACK 进行压缩传输,能够节省消息头占用的网络的流量。而 HTTP/1.x 每次请求,都会携带大量冗余头信息,浪费了很多带宽资源。头压缩能够很好的解决该问题。 多路复用,直白的说就是所有的请求都是通过一个 TCP 连接并发完成。HTTP/1.x 虽然能利用一个连接完成多次请求,但是多个请求之间是有先后顺序的,后面发送的请求必须等待上一个请求返回才能发送响应。这会很容易导致后面的请求被阻塞,而 HTTP/2 做到了真正的并发请求。同时,流还支持优先级和流量控制。 Server Push:服务端能够更快的把资源推送给客户端。例如服务端可以主动把 JS 和 CSS

https

一世执手 提交于 2020-02-28 03:47:52
HTTPS基本概述 PKI 数据保密性 数据完整性 身份认证及授权 不可抵赖性 SSL 安全套接层 认证用户和服务器,确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性,确保数据在传输过程中不被改变 HTTPS 使用SSL来实现安全的通信 证书 证书用于保证密钥的合法性 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含以下信息: 使用者的公钥值 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者数字签名 数字证书由权威公正的第三方机构即CA签发 配置HTTPS前预备知识 专业版OV型证书 不显示企业名称 高级版EV型证书 显示企业名称 HTTPS证书购买选择 保护1个域名 www 保护5个域名 www images cdn test m 通配符域名 *.xiao.com HTTPS注意事项 HTTPS不支持三级域名解析 HTTPS不支持续费,证书到期需重新申请进行替换 HTTPS显示绿色,说明整个网站的URL都是https的 HTTPS显示黄色,因为网站代码中包含http的不安全连接 HTTPS显示红色,证书是假的或过期了 HTTPS证书申请 仅限在在虚拟机上,无法在公网中使用 在公有云中,这个步骤省略 配置苹果要求的证书 1.服务器所有连接使用TLS1.2以上版本(openssl

HTTP与HTTPS区别

最后都变了- 提交于 2020-02-01 06:40:35
HTTP 的缺点 到现在为止,我们已了解到 HTTP 具有相当优秀和方便的一面,然而 HTTP 并非只有好的一面,事物皆具两面性,它也是有不足之处的。HTTP 主要有这些不足,例举如下。 1、通信使用明文( 不加密) , 内容可能会被窃听 2、不验证通信方的身份, 因此有可能遭遇伪装 3、无法证明报文的完整性, 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现,其他未加密的协议中也会存在这类问题。 除此之外,HTTP 本身还有很多缺点。而且,还有像某些特定的 Web 服务器和特定的 Web 浏览器在实际应用中存在的不足(也可以说成是脆弱性或安全漏洞),另外,用 Java 和 PHP 等编程语言开发的 Web 应用也可能存在安全漏洞。 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使用 HTTP 协议通信的请求和响应的 内容 )进行加密。即,HTTP 报文使用明文(指未经过加密的报文)方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点,这是因为,按 TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。 所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时,在此通信线路上的某些网络设备 、光缆、计算机等都不可能是个人的私有物

http协议--笔记

让人想犯罪 __ 提交于 2019-12-30 14:59:25
HTTP协议的缺点: 1.通信使用明文(不加密),内容可能会被窃听 2.不验证通信方的身份,因此有可能遭遇伪装 3.无法证明报文的完整性,所以有可能已遭篡改 防止窃听保护信息的几种对策:加密技术 通信的加密 HTTP和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。与SSL组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)或HTTP over SSL. HTTP+加密+认证+完整性保护=HTTPS 我们把添加了加密及认证机制的HTTP称为HTTPS(HTTP Secure) HTTPS是身披SSL外壳的HTTP HTTPS不是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已 通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。 SSL是独立于HTTP的协议,所以不光是HTTP协议,其他运行在应用层的SMTP和Telnet等协议均可配合SSL协议使用。SSL是当今世界上应用最为广泛的网络安全技术 近代的加密方法中加密算法是公开的,而密钥却是保密的。加密和解密都会用到密钥

SSL/TLS 握手过程详解

好久不见. 提交于 2019-12-29 07:35:43
转自:http://www.jianshu.com/p/7158568e4867 我们知道,HTTP 协议都是明文传输内容,在早期只展示静态内容时没有问题。伴随着互联网的快速发展,人们对于网络传输安全性的要求也越来越高,HTTPS 协议因此出现。如上图所示,在 HTTPS 加密中真正起作用的其实是 SSL/TLS 协议。SSL/TLS 协议作用在 HTTP 协议之下,对于上层应用来说,原来的发送接收数据流程不变,这就很好地兼容了老的 HTTP 协议,这也是软件开发中分层实现的体现。 SSL/TLS 握手是为了安全地协商出一份对称加密的秘钥,这个过程很有意思,下面我们一起来了解一下。 以下内容需要你对加解密、数字签名和数字证书的概念有一定了解,这里 有一篇文章 可以帮你快速了解这几个概念。 SSL/TLS 握手过程 上图大致描述了 SSL/TLS 的握手过程,但缺少了一些信息不利于理解,我会在后面的讲解里再列出来。 Client Hello 握手第一步是客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息。通过 Wireshark 抓包,我们可以看到如下信息: Wireshark 抓包的用法可以参考 这篇文章 Server Hello

nginx高级用法

梦想与她 提交于 2019-12-23 02:15:43
功能 说明 配置语法 配置位置 配置举例 结果验证 备注 rewrite 跳转重定向 (不同于代理的跳转重定向,此处nginx不是代理服务器,而是本身就是web服务器) rewrite 正则表达式 replacement[flag] server、location、if一级来配置 1、 location /down { rewrite ^/down http://www.cctv.com permanent; } 2、 location / { rewrite ^/down /test/abc.html permanent; root /opt/work; } 1、访问http://Nginx地址/down时将跳转至http://www.cctv.com 2、访问http://Nginx地址/down时将跳转至http://Nginx地址/test/abc.html 正则表达式中()用于匹配括号之间的内容,通过$1,$2调用 flag标志位: last:停止rewrite检测 break:停止rewrite检测 redirect:返回302临时重定向,地址栏会显示跳转后的地址 permanent:重返301永久重定向,地址栏会显示跳转后的地址(浏览器会永远记住,即使nginx服务器关闭了也还是会跳转至其他网页)(IE是这样的,但是搜狗浏览器收到301依然当做临时重定向处理)

Https协议详解

六月ゝ 毕业季﹏ 提交于 2019-12-20 18:07:39
HTTP 的缺点 到现在为止,我们已了解到 HTTP 具有相当优秀和方便的一面,然而 HTTP 并非只有好的一面,事物皆具两面性,它也是有不足之处的。HTTP 主要有这些不足,例举如下。 1、通信使用明文( 不加密) , 内容可能会被窃听 2、不验证通信方的身份, 因此有可能遭遇伪装 3、无法证明报文的完整性, 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现,其他未加密的协议中也会存在这类问题。 除此之外,HTTP 本身还有很多缺点。而且,还有像某些特定的 Web 服务器和特定的 Web 浏览器在实际应用中存在的不足(也可以说成是脆弱性或安全漏洞),另外,用 Java 和 PHP 等编程语言开发的 Web 应用也可能存在安全漏洞。 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能,所以也无法做到对通信整体(使用 HTTP 协议通信的请求和响应的 内容 )进行加密。即,HTTP 报文使用明文(指未经过加密的报文)方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点,这是因为,按 TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。 所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时,在此通信线路上的某些网络设备 、光缆、计算机等都不可能是个人的私有物