ssl加密技术

3 月，跳不动了？>>> 2020年3月20日晚间，许多苹果用户看到系统不断地弹窗无法验证服务器身份，包括iOS、iPadOS以及 macOS系统全部如此。 在弹窗中苹果标注不能验证「appleimap.163.com」的身份，简单来说就是这个域名的 HTTPS 证书无法被信任。 至于不能被信任的原因非常简单，网易邮箱忘记给服务器更换新证书，导致原证书到期后无法进行验证。 运维又成了 背锅侠 ，原因很简单，因为运维人员没有在用户之前发现证书过期并及时更换。 值得庆幸的是，该事件在接到用户反馈之后及时更换了服务器证书，未酿成重大信息安全攻击事件，若是对网易用户引起信息泄密事件，运维人员也将沦落“跑路”的下场。 关于数字证书 其实像这类忘记续期和更换数据证书的错误，在很多企业里面都是可能会发生。因为企业内部的应用中，运维面向各式各样的应用系统，这类证书基本都是2年才更换一次。如果没有很好的工具进行检测和通知，则经常被遗忘在运维忙碌的技术支持工作中。 疑惑一： 很多人可能想问，为啥这类情况经常会被忘记，为啥证书有效期不一次性设置100年呢？这样，应用系统可能都下线了，就不再需要考虑证书过期的事情了？ 事实上，数字证书一般由第三方的法定数据认证中心机构签发，以数据证书为核心的加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性

下面我们来一起学习一下 HTTPS ，首先问你一个问题，为什么有了 HTTP 之后，还需要有 HTTPS ？我突然有个想法，为什么我们面试的时候需要回答 标准答案 呢？为什么我们不说出我们自己的想法和见解，却要记住一些所谓的标准回答呢？ 技术还有正确与否吗 ？ HTTPS 为什么会出现 一个新技术的出现必定是为了解决某种问题的，那么 HTTPS 解决了 HTTP 的什么问题呢？ HTTPS 解决了什么问题 一个简单的回答可能会是 HTTP 它不安全。由于 HTTP 天生明文传输的特性，在 HTTP 的传输过程中，任何人都有可能从中截获、修改或者伪造请求发送，所以可以认为 HTTP 是不安全的；在 HTTP 的传输过程中不会验证通信方的身份，因此 HTTP 信息交换的双方可能会遭到伪装，也就是 没有用户验证 ；在 HTTP 的传输过程中，接收方和发送方并 不会验证报文的完整性 ，综上，为了结局上述问题，HTTPS 应用而生。 什么是 HTTPS 你还记得 HTTP 是怎么定义的吗？HTTP 是一种 超文本传输协议(Hypertext Transfer Protocol) 协议， 它 是一个在计算机世界里专门在两点之间传输文字、图片、音频、视频等超文本数据的约定和规范 ，那么我们看一下 HTTPS 是如何定义的 HTTPS 的全称是 Hypertext Transfer

来源： http://www.study-code.com/server/maintain/75651.htm 安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器 之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信，必须为 Web 服务器 配置 SSL 证书。本文介绍如何获取 SSL 证书，以及如何配置 Microsoft® Internet 信息服务 ( IIS )，以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。 一般情况下按照下文中SOP去做是不会有问题的，但是我碰到一个怪问题，安装CA后并没有在 IIS 中产生对应提交证书事情用的虚拟目录，网上搜了好久也没有找到原因，以为是添加CA组件有问题。这时候想起MCSE等证书也许可以帮到的哦，可惜我没有去学。 可能碰到的问题：没有CA认证服务 CA认证服务是Windows的一项服务，在Windows组件安装就好了。 安装了CA后 在IE中访问http://hostname/CertSrv提交证书请求时找不到网页 不要紧 在windows系统路径查找certSrv文件夹，把那个文件夹加到 IIS 虚拟目录（ IIS 都没有？ 那搞什么SSL啊，先安装一个吧）,再访问就可以按照下文操作了

正确启用HTTP/2支持，正确配置ssl_protocols和ssl_ciphers 玩 · 3931 · 2016-11-11 HTTP 2.0即超文本传输协议 2.0，是下一代HTTP协议。在开放互联网上HTTP 2.0将只用于https://网址，而 http://网址将继续使用HTTP/1，目的是在开放互联网上增加使用加密技术，以提供强有力的保护去遏制主动攻击。 HTTP/2 的优势 相比 HTTP/1.x，HTTP/2 在底层传输做了很大的改动和优化： HTTP/2 采用二进制格式传输数据，而非 HTTP/1.x 的文本格式。二进制格式在协议的解析和优化扩展上带来更多的优势和可能。 HTTP/2 对消息头采用 HPACK 进行压缩传输，能够节省消息头占用的网络的流量。而 HTTP/1.x 每次请求，都会携带大量冗余头信息，浪费了很多带宽资源。头压缩能够很好的解决该问题。 多路复用，直白的说就是所有的请求都是通过一个 TCP 连接并发完成。HTTP/1.x 虽然能利用一个连接完成多次请求，但是多个请求之间是有先后顺序的，后面发送的请求必须等待上一个请求返回才能发送响应。这会很容易导致后面的请求被阻塞，而 HTTP/2 做到了真正的并发请求。同时，流还支持优先级和流量控制。 Server Push：服务端能够更快的把资源推送给客户端。例如服务端可以主动把 JS 和 CSS

HTTPS基本概述 PKI 数据保密性 数据完整性 身份认证及授权 不可抵赖性 SSL 安全套接层 认证用户和服务器,确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性,确保数据在传输过程中不被改变 HTTPS 使用SSL来实现安全的通信 证书 证书用于保证密钥的合法性 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含以下信息： 使用者的公钥值 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者数字签名 数字证书由权威公正的第三方机构即CA签发 配置HTTPS前预备知识 专业版OV型证书 不显示企业名称 高级版EV型证书 显示企业名称 HTTPS证书购买选择 保护1个域名 www 保护5个域名 www images cdn test m 通配符域名 *.xiao.com HTTPS注意事项 HTTPS不支持三级域名解析 HTTPS不支持续费,证书到期需重新申请进行替换 HTTPS显示绿色,说明整个网站的URL都是https的 HTTPS显示黄色,因为网站代码中包含http的不安全连接 HTTPS显示红色,证书是假的或过期了 HTTPS证书申请 仅限在在虚拟机上,无法在公网中使用 在公有云中,这个步骤省略 配置苹果要求的证书 1.服务器所有连接使用TLS1.2以上版本(openssl

HTTP 的缺点 到现在为止，我们已了解到 HTTP 具有相当优秀和方便的一面，然而 HTTP 并非只有好的一面，事物皆具两面性，它也是有不足之处的。HTTP 主要有这些不足，例举如下。 1、通信使用明文（ 不加密） ， 内容可能会被窃听 2、不验证通信方的身份， 因此有可能遭遇伪装 3、无法证明报文的完整性， 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现，其他未加密的协议中也会存在这类问题。 除此之外，HTTP 本身还有很多缺点。而且，还有像某些特定的 Web 服务器和特定的 Web 浏览器在实际应用中存在的不足（也可以说成是脆弱性或安全漏洞），另外，用 Java 和 PHP 等编程语言开发的 Web 应用也可能存在安全漏洞。 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能，所以也无法做到对通信整体（使用 HTTP 协议通信的请求和响应的 内容 ）进行加密。即，HTTP 报文使用明文（指未经过加密的报文）方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点，这是因为，按 TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窥视。 所谓互联网，是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时，在此通信线路上的某些网络设备 、光缆、计算机等都不可能是个人的私有物

HTTP协议的缺点： 1.通信使用明文（不加密），内容可能会被窃听 2.不验证通信方的身份，因此有可能遭遇伪装 3.无法证明报文的完整性，所以有可能已遭篡改 防止窃听保护信息的几种对策：加密技术 通信的加密 HTTP和SSL（Secure Socket Layer,安全套接层）或TLS（Transport Layer Security,安全层传输协议）的组合使用，加密HTTP的通信内容。与SSL组合使用的HTTP被称为HTTPS（HTTP Secure,超文本传输安全协议）或HTTP over SSL. HTTP+加密+认证+完整性保护=HTTPS 我们把添加了加密及认证机制的HTTP称为HTTPS（HTTP Secure） HTTPS是身披SSL外壳的HTTP HTTPS不是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已 通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信了。 SSL是独立于HTTP的协议，所以不光是HTTP协议，其他运行在应用层的SMTP和Telnet等协议均可配合SSL协议使用。SSL是当今世界上应用最为广泛的网络安全技术 近代的加密方法中加密算法是公开的，而密钥却是保密的。加密和解密都会用到密钥

转自:http://www.jianshu.com/p/7158568e4867 我们知道，HTTP 协议都是明文传输内容，在早期只展示静态内容时没有问题。伴随着互联网的快速发展，人们对于网络传输安全性的要求也越来越高，HTTPS 协议因此出现。如上图所示，在 HTTPS 加密中真正起作用的其实是 SSL/TLS 协议。SSL/TLS 协议作用在 HTTP 协议之下，对于上层应用来说，原来的发送接收数据流程不变，这就很好地兼容了老的 HTTP 协议，这也是软件开发中分层实现的体现。 SSL/TLS 握手是为了安全地协商出一份对称加密的秘钥，这个过程很有意思，下面我们一起来了解一下。 以下内容需要你对加解密、数字签名和数字证书的概念有一定了解，这里 有一篇文章 可以帮你快速了解这几个概念。 SSL/TLS 握手过程 上图大致描述了 SSL/TLS 的握手过程，但缺少了一些信息不利于理解，我会在后面的讲解里再列出来。 Client Hello 握手第一步是客户端向服务端发送 Client Hello 消息，这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件（Support Ciphers）和 SSL Version 等信息。通过 Wireshark 抓包，我们可以看到如下信息： Wireshark 抓包的用法可以参考 这篇文章 Server Hello

功能 说明 配置语法 配置位置 配置举例 结果验证 备注 rewrite 跳转重定向 （不同于代理的跳转重定向，此处nginx不是代理服务器，而是本身就是web服务器） rewrite 正则表达式 replacement[flag] server、location、if一级来配置 1、 location /down { rewrite ^/down http://www.cctv.com permanent; } 2、 location / { rewrite ^/down /test/abc.html permanent; root /opt/work; } 1、访问http://Nginx地址/down时将跳转至http://www.cctv.com 2、访问http://Nginx地址/down时将跳转至http://Nginx地址/test/abc.html 正则表达式中（）用于匹配括号之间的内容，通过$1,$2调用 flag标志位： last：停止rewrite检测 break：停止rewrite检测 redirect：返回302临时重定向，地址栏会显示跳转后的地址 permanent：重返301永久重定向，地址栏会显示跳转后的地址（浏览器会永远记住，即使nginx服务器关闭了也还是会跳转至其他网页）（IE是这样的，但是搜狗浏览器收到301依然当做临时重定向处理）

HTTP 的缺点 到现在为止，我们已了解到 HTTP 具有相当优秀和方便的一面，然而 HTTP 并非只有好的一面，事物皆具两面性，它也是有不足之处的。HTTP 主要有这些不足，例举如下。 1、通信使用明文（ 不加密） ， 内容可能会被窃听 2、不验证通信方的身份， 因此有可能遭遇伪装 3、无法证明报文的完整性， 所以有可能已遭篡改 这些问题不仅在 HTTP 上出现，其他未加密的协议中也会存在这类问题。 除此之外，HTTP 本身还有很多缺点。而且，还有像某些特定的 Web 服务器和特定的 Web 浏览器在实际应用中存在的不足（也可以说成是脆弱性或安全漏洞），另外，用 Java 和 PHP 等编程语言开发的 Web 应用也可能存在安全漏洞。 通信使用明文可能会被窃听 由于 HTTP 本身不具备加密的功能，所以也无法做到对通信整体（使用 HTTP 协议通信的请求和响应的 内容 ）进行加密。即，HTTP 报文使用明文（指未经过加密的报文）方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点，这是因为，按 TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窥视。 所谓互联网，是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时，在此通信线路上的某些网络设备 、光缆、计算机等都不可能是个人的私有物