目录
- 怎么证明我是我?
- 加密算法的相关概念?
- 全站的一些思考 ?
-
怎么证明我是我?
-
加密算法的相关概念?
明文/密文
对称密钥
特点:速度快,加密和解密是同一个,密钥一定不能泄露
算法: DES、3DES、AES、RC5、RC6
非对称密钥
特点:不需要共享密钥,私钥不能外泄
算法: RSA
数字签名
作用:验证传输的内容是不是真实服务器发送的数据,发送的数据有没有被篡改过,它就干这两件事,是非对称加密的一种应用场景。不过他是反过来用私钥来加密,通过与之配对的公钥来解密。
CA 数字证书
作用:质检部门,被认可(浏览器)的
-
全站的一些思考?
HTTPS: TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。
思考一:混合内容
https://imququ.com/post/sth-about-switch-to-https.html
思考二:HSTS && Preload List
HSTS 可以很好的解决 HTTPS 降级攻击,但是对于 HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持。浏览器厂商们为了解决这个问题,提出了 HSTS Preload List 方案:内置一份列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议;列表可以定期更新。
Preload List:解决HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持;内置一份列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议;列表可以定期更新。
注意项:你不能确保永远提供 HTTPS 服务,就不要启用**。因为一旦 HSTS 生效,你再想把网站重定向为 HTTP,之前的老用户会被无限重定向,唯一的办法是换新域名
思考三:CDN
- 支持HTTPS
- 安全问题、SRI
- 证书的问题,私钥给到第三方,key server
参考原文:https://imququ.com/post/sth-about-switch-to-https.html
思考四:SSL卸载
?性能
F5加速卡,nginx 和haproxy
思考五:客户端证书、服务器端证书
?用浏览器验证没有问题的HTTPs站点,用程序访问就有问题。这是为什么?
? 中间证书
? 证书链的大小
思考六:OCSP & CRL
CRL: 纪录被CA所撤销的凭证清单
OCSP: 提供线上动态查询凭证的状态
思考七:SHA-1
http://www.wosign.com/news/STOP_SHA1.htm
思考八:多个域名对应一个IP
SNI
并发连接数 带宽 域名收缩
