SSL

试玩 nginx mainline 1.13 的 TLSv1.3

大晚上的刷推发现 nginx 出了新的大版本更新(https://twitter.com/nginxorg/status/856896480497385473),一看 TLSv1.3 support,顿时吓清醒了,为啥这么厉害的特性官方博客都没一篇说明的(关于 TLS 1.3 的介绍建议阅读微信的 基于TLS1.3的微信安全通信协议mmtls介绍),后来发现原来1.11.x 的时候就偷偷加入的支持然而没有告诉你,我也是十分的无语。仔细看了一下 ngx_http_ssl_module 的文档:

The TLSv1.3 parameter (1.13.0) works only when Ope[……]

Read more

HTTPS 性能研究笔记(一):概述

由于某些原因,最近一个月一直在进行 HTTPS 性能方面的研究,看了很多关于 HTTPS 的资料之后发现一个问题就是,要在现有的 HTTP 协议框架下提升性能实在是一件很困难的事情:

首先研究 HTTPS 自然需要了解 HTTPS 所用到的密码学知识,密码学所指的安全,即是保证保密性、可靠性、可用性。其中可用性实际上不由 HTTPS 协议作出保证;可靠性方面,HTTPS 要求客户端验证服务端身份,这就要求服务器创建证书,并交由证书颁发机构(也叫 CA)签名以使客户端接受。CA 会签署 HTTPS 证书认证服务器的身份,CA 签发的证书会用在 HTTPS 握手过程中;保密性方面,HTTPS 的[……]

Read more

iOS10 / macOS Sierra 下无法访问浦发银行部分网页的问题的研究

TL;DR:水果禁用了一小波 SSL 加密参数导致万年不升级的浦发 HTTPS Server 达不到水果的安全要求无法建立 HTTPS 连接。

事情是这样的,今天晚上打开 TG,看见小伙伴们在讨论 iOS10 和 macOS 10.12没法打开浦发的网站,提示“Safari 无法打开该网页,因为无法与服务器建立安全连接”,受影响的域名包括但不限于quanyiwap.spdbccc.com.cn和onlineapp.spdbccc.com.cn,我随手在 iOS9 和 OS X 10.11下试了一下都正常,我第一反应是你们水果是不是又在新系统拉黑了什么CA(实际上如果是取消对 CA[……]

Read more

阿里云已支持 HTTPS 站点的 CDN

昨天还在和朋友谈到支持 HTTPS 的 CDN 太少,然后就发现阿里云已经在1月20日上线了 HTTPS CDN,藏的比较深入

步骤总体而言很简单,输入证书和私钥(这个着实是需要斟酌,把服务器私钥交给阿里看你信不信得过了。。。反正我没什么东西在上面)

修改之后业务类型会变成 HTTPS 安全

证书格式相关参考:https://help.aliyun.com/document_detail/cdn/FAQ/certificate.html?spm=5176.doccdn/getting-started/httpsdelivery.2.2.ujK5e0

实际上 ng[……]

Read more

说在前面:一般情况下一个 IP 是只能对应一个 HTTPS 站点的,我曾经在配置glype在线代理的时候遇到过这样的问题:在某 VPS 上搭了带 HTTPS 的代理之后,其他指向该 IP 的网站都会跳转到这个代理的域名下,无法正常访问,且浏览器一般会报证书错误(如果使用的 https 证书不是泛域名的,浏览器可能会提示这是一个假冒的网站),其原因是 https 原理决定的:

SSL协议层位于HTTP协议层之下,HTTP协议是被封装在SSL协议中的,所以SSL会话必须在HTTP会话之前建立。因为在建立SSL会话的最初握手阶段,服务器无法知道HTTP请求头的Host字段的内容,也就无法确定究竟使[……]

Read more