忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
楼主: Godbach

【好书推荐】全站 HTTPS——如何规划、部署、优化?(获奖名单已公布) [复制链接]

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-29 13:51 |显示全部楼层
回复 10# cxsvip

感谢分享。
证书小的话,至少网络传输上节省带宽。 ECDSA 现在势头比较猛。

论坛徽章:
21
CU大牛徽章
日期:2013-09-18 15:22:06寅虎
日期:2014-03-25 21:54:32摩羯座
日期:2014-03-25 23:51:36技术图书徽章
日期:2014-04-03 16:47:26白羊座
日期:2014-04-14 22:56:32午马
日期:2014-05-16 17:18:08未羊
日期:2014-08-12 22:15:31神斗士
日期:2015-11-20 17:26:2515-16赛季CBA联赛之浙江
日期:2016-03-15 18:27:4215-16赛季CBA联赛之同曦
日期:2016-03-22 09:21:01寅虎
日期:2014-06-03 10:53:34巳蛇
日期:2014-05-30 20:53:19
发表于 2016-11-29 15:57 |显示全部楼层
回复 5# InfoHunter

HTTPs没有做CT策略(目前只有chrome支持CT),所以悲剧了..
看新闻上面看到是赛门铁克之前未经域名拥有者同意,私自签发了75域名的测试证书(包括谷歌的域名),所以谷歌就要求了CT..神仙打架,吃瓜群众莫名中枪

论坛徽章:
0
发表于 2016-11-29 20:52 |显示全部楼层
cxsvip 发表于 2016-11-29 10:48
没有接触过HTTPS相关的项目,但SSL/TLS使用硬件加速一下的话应该会对HTTPS有一定的好处,Intel的一个解决方 ...

Intel QAT吧,那个用过,比较便宜,不过我们的nginx是改的比较大,所以没法用Intel给的patch,只能自己开发来调那些API

论坛徽章:
0
发表于 2016-11-29 20:59 |显示全部楼层
GB_juno 发表于 2016-11-29 15:57
回复 5# InfoHunter

HTTPs没有做CT策略(目前只有chrome支持CT),所以悲剧了..

对,很多CA都没少干这事,前段时间WoSign悲剧了,看新闻说360要把WoSign和StartCom再拆分开,不知道WoSign以后会咋样…………

其实强制CT也是好事

论坛徽章:
0
发表于 2016-11-29 21:05 |显示全部楼层
Godbach 发表于 2016-11-29 13:51
回复 10# cxsvip

感谢分享。

嗯,ECC值得使用,淘宝和天猫现在就是ECDSA的证书

论坛徽章:
0
发表于 2016-11-29 23:20 |显示全部楼层
Godbach 发表于 2016-11-29 09:59
InfoHunter 兄介绍一下ATS的要求吧

OK,ATS全称是Apple Transport Security,实际上就是从iOS 9开始默认开启的一项功能,旨在让App发起的到服务端的请求都走HTTPS。最近各App、CDN的vendor们都比较关注这个事情,并且积极的准备应对,主要是因为在2016年6月的WWDC上Apple宣布从2017年1月开始强制执行ATS(之前是可以关闭的)。

然后ATS有这么几个细节,技术方面的:

  • ATS只作用于high level的API,比如NSURLSession, NSURLConnection。。。socket层面不受ATS影响
  • iOS 10之后SSL方面有这么几个变化:RC4默认禁用、SSL 3默认禁用,新增了针对本地网络不强制应用ATS的功能,新增了对CT(certificate transparency)的支持。。。


如果App已经支持了HTTPS,或者正在计划支持,那强制ATS影响不大,皆大欢喜。

但是如果因为某些原因无法实现HTTPS,那可能就比较麻烦了,因为明年开始不能像之前那样直接把ATS全局关闭来绕过,现在的手段主要是依赖于苹果的App Review,需要提出合理的理由(reasonable justification)给审核人员,但是这个就已经不是技术层面的问题,审核人员界定的理由的标准也不好判断。

其实Apple这次释放的信号已经很明显了,就是要增强安全,包括之前Google在搜索结果中会更偏向HTTPS网站的行为,其实都已经说明HTTPS已经是大势所趋,假以时日,待HTTP/2全面铺开,加密流量也会随之无处不在。

结论就是,如果你的App还在裸跑HTTP,也许真到该考虑使用HTTPS的时候了。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-29 23:28 |显示全部楼层
回复 16# InfoHunter
回答的灰常给力

论坛徽章:
39
水瓶座
日期:2013-08-15 11:26:422015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之乌兹别克斯坦
日期:2015-03-27 14:01:172015年亚洲杯之约旦
日期:2015-03-31 15:06:442015亚冠之首尔
日期:2015-06-16 23:24:37IT运维版块每日发帖之星
日期:2015-07-01 22:20:002015亚冠之德黑兰石油
日期:2015-07-08 09:32:07IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-08-29 06:20:00IT运维版块每日发帖之星
日期:2015-10-10 06:20:00IT运维版块每日发帖之星
日期:2015-10-11 06:20:00IT运维版块每日发帖之星
日期:2015-11-10 06:20:00
发表于 2016-11-29 23:55 |显示全部楼层
回复 14# InfoHunter

苹果、火狐浏览器不信任沃通证书一年 加密安全算法太弱也是个问题

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-11-30 08:56 |显示全部楼层
forgaoqiang 发表于 2016-11-29 23:55
回复 14# InfoHunter

苹果、火狐浏览器不信任沃通证书一年 加密安全算法太弱也是个问题

有个CA资格多么难得,可以说一本万利。不好搞好维护,真不知道肿么想的
来自安卓客户端来自客户端

论坛徽章:
2
极客徽章
日期:2016-12-07 14:07:302017金鸡报晓
日期:2017-01-10 15:13:29
发表于 2016-11-30 11:45 |显示全部楼层
沃通  呵呵. 现在chrome和firefox都对其采取不信任的措施,还不是自己找的
收购了StartCom,还把StartCom给搞臭了
https://wiki.mozilla.org/CA:WoSign_Issues里面介绍的这样,还有谁会去用
问题1
      沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;
问题2
  证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;
  已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。
问题3
  被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:
  由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。
  沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。

问题4
  除了英国程序员曝光的那3个问题,再来说一下其他人曝光的问题——
  沃通在2015年4月9日到4月14日之间,签发了392个【相同序列号】的证书。

最近在折腾 Let's Encrypt了

评分

参与人数 1可用积分 +6 收起 理由
Godbach + 6 神马都是浮云

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP