https

手动续订 SSL 证书的简单指南

手动续订 SSL 证书的简单指南

虽然 SSL 证书提供了防止数据盗窃或滥用的安全性,但你需要定期更新它以确保最有效的安全性以抵御最新的威胁。
SSLH:让 HTTPS 和 SSH 共享同一个端口

SSLH:让 HTTPS 和 SSH 共享同一个端口

如果你遇到大多数端口被防火墙阻止的情况,你可以使用 SSLH 访问远程服务器。这个简短的教程描述了如何在类 Unix 操作系统中使用 SSLH 让 https、ssh 共享相同的端口。
Let's Encrypt :2018 年 1 月发布通配证书

Let's Encrypt :2018 年 1 月发布通配证书

通配证书是一个经常需要的功能,并且我们知道在一些情况下它可以使 HTTPS 部署更简单。我们希望提供通配证书有助于加速网络向 100% HTTPS 进展。
在主要浏览器禁用后,SHA-1 使用量得到了下降

在主要浏览器禁用后,SHA-1 使用量得到了下降

在 Mozilla 宣布计划阶段性废弃 SHA-1 算法签名的证书一年后,SHA-1 的使用量得到了显著下降。据 Firefox 的数据看,使用量从去年的 50% 降至今年三月的 3.5%,而到这个月仅占到加密流量的 0.8%。
Firefox 52 将正式支持 TLS 1.3

Firefox 52 将正式支持 TLS 1.3

Mozilla 宣布计划将在明年发布的 Firefox 52 中支持 TLS 1.3,TLS 1.3 是当前仍在开发中的 TLS 安全协议的最新版本。
作为 HTTPS 的骨灰粉,怎么可以不加入 HSTS 预载入列表

作为 HTTPS 的骨灰粉,怎么可以不加入 HSTS 预载入列表

自从关注了 HTTPS,Linux 中国就成了 HTTPS 的铁杆粉丝了,不但传播了很多 HTTPS 相关的文章,而且身体力行的将 http://linux.cn也切换到了 https://linux.cn。非但如此,还激进地配置了 HSTS策略。 HSTS 是什么? 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始会话是非加密的。举个例子,比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。 这就给了中间人攻击的一个机会,重定向可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。 HTTP 严格传输安全(HSTS
网上订票惊爆信息泄露风险,你还敢在网上订票吗?

网上订票惊爆信息泄露风险,你还敢在网上订票吗?

据外媒 Softpedia 消息,移动数据领域的初创企业 Wandera 最近的一份调查报告显示,包括加拿大航空、亚航等四家大型航空公司在内的全球十余家航空、铁路、出租、票务等方面的大型公司由于没有部署移动端 HTTPS 访问,导致用户信息存在巨大的泄露风险!这些公司往往都已经在其网站上部署了 HTTPS 服务,但是其提供的针对手机的移动网站和 app 客户端的访问上,却没有相应的也使用 HTTPS 服务。这就导致了它们为每日高达50万用户访问所提供的服务存在着巨大的信息泄露风险。 尤其是当用户使用不可靠的公用互联网接入,如咖啡馆、商场的免费
RHCE 系列(八):在 Apache 上使用网络安全服务(NSS)实现 HTTPS

RHCE 系列(八):在 Apache 上使用网络安全服务(NSS)实现 HTTPS

如果你是一个负责维护和确保 web 服务器安全的系统管理员,你需要花费最大的精力确保服务器中处理和通过的数据任何时候都受到保护。 RHCE 系列:第八部分 - 使用网络安全服务(NSS)为 Apache 通过 TLS 实现 HTTPS 为了在客户端和服务器之间提供更安全的连接,作为 HTTP 和 SSL(Secure Sockets Layer(安全套接层))或者最近称为 TLS(Transport Layer Security(传输层安全))的组合,产生了 HTTPS 协议。 由于一些严重的安全漏洞,SSL 已经被更健壮的 TLS 替代。由于这个原因,在这篇文章中我们会解析如何通过 TLS 实现你 web 服务
SSL/TLS 加密新纪元 - Let's Encrypt

SSL/TLS 加密新纪元 - Let's Encrypt

根据 Let’s Encrypt 官方博客消息,Let’s Encrypt 服务将在下周(11 月 16 日)正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组(ISRG,Internet Security Research Group)主导并开发的一个新型数字证书认证机构(CA,Certificate Authority)。该项目旨在开发一个自由且开放的自动化 CA 套件,并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中,互联网安全研究小组拟定了 ACME 协议草案,并首次实现了使用该协议的应用套件:服务端 Boulder 和客户端 letsencrypt。 至于为什么 Let’s
Let's Encrypt 已被所有主流浏览器所信任

Let's Encrypt 已被所有主流浏览器所信任

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Lets Encrypt 已经得了 IdenTrust的交叉签名,这意味着其证书现在已经可以被所有主流的浏览器所信任。从这个里程碑事件开始,访问者访问使用了Lets Encrypt 证书的网站不再需要特别配置就可以得到 HTTPS 安全保护了。 Lets Encrypt 的两个中级证书 Lets Encrypt Authority X1 和 Lets Encrypt Authority X2 得到了交叉签名。Web 服务器需要在证书链中配置交叉签名,客户端会自动处理好其它的一切。 你现在可以在此体验一下使用新的交叉签名的中级证书所签发证书的服务器。 越来越多的重
为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

假如你已经完全配好了你的 SSL:使用了强加密算法、禁用了废弃的协议,而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分,shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是,有些情况下,当你访问你的网站时,Chrome 仍旧会在 URL 栏处显示一个红叉,并且说你的网站提供了 SHA-1 证书,是肯定不安全的(affirmatively insecure) 的: 这可能吗?不幸的是,有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的,但是由于某些 CA 糟糕的做法和用户使用了老旧的软件,有时候
谷歌公布放弃 RC4 和 SSLv3 的详细计划

谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料,这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议,这二者都有悠久的被攻击历史。 该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表,但是兰利坚称,谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。 事实上,该公司宣布放弃RC4 和 SSLv3并不令人惊讶,国际互联网工程任务组(IETF)在今年夏天发布的一个互联网标准跟踪文档(Internet Standards Track document)中宣称了 SSLv3 的死亡,说它不够安全,而且说任何版本
增强 nginx 的 SSL 安全性

增强 nginx 的 SSL 安全性

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁;禁用协议上存在安全缺陷的 SSLv3 及更低版本,并设置更健壮的加密套件(cipher suite)来尽可能启用前向安全性(Forward Secrecy);此外,我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置,并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话,可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置,复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试
在 Apache、NGINX 和 Lighttpd 上启用 HTTP 公钥固定扩展(HPKP)

在 Apache、NGINX 和 Lighttpd 上启用 HTTP 公钥固定扩展(HPKP)

编者按:前段时间,Google 报告说 CNNIC 签发的一个中级 CA 签发了一个伪造的 Google 证书,从而导致 Google 和 Mozilla 在其产品中取消了对 CNNIC 后继签发的证书信任。 本文就来讲述一下,这种伪造证书是如何被 Google 发现的,其技术机制是什么?如何在网站服务器上实现伪造证书防御和报告机制。 公钥固定(Public Key Pinning)是指一个证书链中必须包含一个白名单中的公钥,也就是说只有被列入白名单的证书签发机构(CA)才能为某个域名*.example.com签发证书,而不是你的浏览器中所存储的任何 CA 都可以为之签发。本文讲述了这种机
如何配置使用 HTTP 严格传输安全(HSTS)

如何配置使用 HTTP 严格传输安全(HSTS)

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx1.1.19、 Lighttpd 1.4.28 和Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debian 6 7 和 CentOS 6,只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全? 引用自Mozilla Developer Network: 如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始