关于全站的一些思考

目录

  • 怎么证明我是我?
  • 加密算法的相关概念?
  • 全站的一些思考 ?

  • 怎么证明我是我?

关于全站的一些思考_第1张图片
我是谁.png
  • 加密算法的相关概念?

明文/密文

关于全站的一些思考_第2张图片
cipher.png

对称密钥

特点:速度快,加密和解密是同一个,密钥一定不能泄露
算法: DES、3DES、AES、RC5、RC6

非对称密钥

关于全站的一些思考_第3张图片
Paste_Image.png

特点:不需要共享密钥,私钥不能外泄
算法: RSA

数字签名

作用:验证传输的内容是不是真实服务器发送的数据,发送的数据有没有被篡改过,它就干这两件事,是非对称加密的一种应用场景。不过他是反过来用私钥来加密,通过与之配对的公钥来解密。

CA 数字证书

作用:质检部门,被认可(浏览器)的

  • 全站的一些思考?

HTTPS: TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。

思考一:混合内容

https://imququ.com/post/sth-about-switch-to-https.html

思考二:HSTS && Preload List

  1. HSTS 可以很好的解决 HTTPS 降级攻击,但是对于 HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持。浏览器厂商们为了解决这个问题,提出了 HSTS Preload List 方案:内置一份列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议;列表可以定期更新。

  2. Preload List:解决HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持;内置一份列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议;列表可以定期更新。

注意项:你不能确保永远提供 HTTPS 服务,就不要启用**。因为一旦 HSTS 生效,你再想把网站重定向为 HTTP,之前的老用户会被无限重定向,唯一的办法是换新域名

思考三:CDN

  1. 支持HTTPS
  2. 安全问题、SRI
  3. 证书的问题,私钥给到第三方,key server

参考原文:https://imququ.com/post/sth-about-switch-to-https.html

思考四:SSL卸载

?性能
F5加速卡,nginx 和haproxy

思考五:客户端证书、服务器端证书

?用浏览器验证没有问题的HTTPs站点,用程序访问就有问题。这是为什么?
? 中间证书
? 证书链的大小

思考六:OCSP & CRL

CRL: 纪录被CA所撤销的凭证清单


关于全站的一些思考_第4张图片
Paste_Image.png

OCSP: 提供线上动态查询凭证的状态

https://translate.google.com.tw/translate?hl=zh-CN&sl=zh-TW&u=http://ijecorp.blogspot.com/2016/01/ocsp-crl.html&prev=search

思考七:SHA-1

http://www.wosign.com/news/STOP_SHA1.htm

思考八:多个域名对应一个IP

SNI

并发连接数 带宽 域名收缩

你可能感兴趣的:(关于全站的一些思考)