- 博客(10)
- 收藏
- 关注
RSS订阅
原创 【知识普及】当HTTP与小“s”相遇,奇妙之旅开启!
不知你平时是否注意过,当你访问SCDN、百度、新浪等平台时,左上角网址栏前面会出现一个https://,而当你访问一些个人博客时,网址前面则显示http://。同样是为用户提供平台与服务,为什么有的是https://,有的却是http://?这个多出来的小“s”是什么呢?什么是HTTPS ?HTTPS = HTTP + SSL ,只要网站配置了SSL证书,就会从http://变成https://。别看只是多了一个“s”,一个知名网站,每年在SSL证书上的花费,至少都是万元级别。之所以愿意花.
2021-01-28 15:33:10
275
原创 如何解决SSL/TLS证书服务的高可用性?
背景介绍:2017年1月份,Google将Chrome 56中所有的 http站点标记为不安全,并对所有使用http方式的登录交互页发出醒目的“不安全”提示。Apple自2015年WWDC大会开始,就在计划逐步推进实施ATS(App与后台服务器通讯强制使用https通讯)的实施,并在2017年WWDC大会上发布明确的时间节点,使https服务成为所有iOS及MAC上App的标配。随着一些国际主流CA机构免费型DV SSL证书产品的出现,SSL/TLS证书的应用越来越广泛。SSL证书与域名一样,很快会成为
2020-12-31 16:40:50
212
原创 ECC+RSA双证书解决方案
什么是ECCECC是Elliptic Curves Cryptography的缩写,意为椭圆曲线密码编码学。和RSA算法一样,ECC算法也属于公开密钥算法。最初由Koblitz和Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高,它的破译或求解难度基本上是指数级的,黑客很难用通常使用的暴力破解的方法来破解。RSA算法的特点之一是数学原理相对简单,在工程应
2020-12-11 13:53:03
1241
原创 关于 APP 预埋检查策略优化
背景在 APP 海量时代,很多APP 都进行过证书预埋检查功能设置。当预埋的APP 更新服务器端证书时,发现部分客户出现证书更新之后,APP 无法正常通信等情况出现。经过技术排查发现由于APP 中进行了证书预埋检查,并预埋了服务器证书(公钥)文件等信息,导致证书更新后新证书无法通过 APP 预埋检查验证,提示网络中止连接。如果你的 APP 做了以下的预埋,都会存在隐患:1.在APP 中预埋了服务器证书(公钥)做证书检查2.在APP 中预埋了服务器证书的指纹值做证书检查3.在APP 中预埋了中级证书
2021-02-26 11:39:24
363
原创 IIS多站点共享端口
背景:客户在使用通配符证书进行IIS多站点配置中发现IIS不支持多站点共用一个SSL端口,使用多个站点绑定证书会提示“该证书已经绑定其他站点,如果要绑定当前证书会导致在使用的站点证书不可用”,而且无法共用同一个443端口。1、修改证书友好名称点击“开始”=>“运行”=>“mmc”打开控制台,点击“文件”=>“添加/删除管理单元”,找到“证书”点击“添加“,选择“计算机账户”,点击“下一步”,选择本地计算机,点击“完成”在“个人”中找到已经安装成功的服务器证书,并双击打开
2021-02-04 15:33:12
700
原创 Nginx 实现OCSP Stapling
什么是OCSP StaplingOCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。Web容器版本支持Nginx version 1.3.7以上支持Apache Server 2.3.3+ 以上支持自动OCSP Stapl
2021-01-25 10:04:05
1146
原创 政府及事业单位如何强化其信息安全?
随着信息网络技术的应用日益普及和广泛,应用层次正在不断深入发展,应用领域从传统、小型业务系统逐渐向大型、关键业务系统扩展,典型的如电子政务业务系统、行政部门业务系统、金融业务系统、企业商务系统等。政府及事业单位作为中国信息化的先行者,办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。政府网站更要注重网络安全近年来,各级政府网站受到网络攻击、假冒伪造政府网站的问题频繁出现。由于政府网站的特殊性,受到了来自社会层面的广泛关注,因此,受攻击的几率相对更大。许多政府网站都存在或...
2021-01-15 17:53:21
215
1
原创 Apache 单IP配置多个HTTPS虚拟主机
Apache 文档中提到,不能在单个 IP上同时有多个按名字识别的虚拟主机(“named virtual host”),其实不完全是这样了。使用SNISNI全称Server Name Indication(服务器名称指示),这个问题可以解决apache中的单IP多HTTPS虚拟主机,只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持支持SNI的浏览器Mozilla Firefox 2.0 or laterOpera 8.0 or later (the TLS 1.1 prot
2021-01-08 10:18:12
257
原创 解码Nginx如何快速实现HSTS跳转
什么是HSTSHSTS是国际互联网工程组织 IETF 正在推行一种新的Web安全协议,网站采用HSTS后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。浏览器版本支持Chromium和Google Chrome从4.0.211.0版本开始支持HSTSFirefox 4及以上版本Opera 12及以上版本Safari从OS X Mavericks起Internet Explorer从Windows
2020-12-17 11:46:07
232
1
原创 Tomcat关于DH算法问题解决办法
Tomcat关于DH算法问题解决办法Tomcat 老版本存在的问题Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料
2020-12-01 17:54:20
812
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人