分类 ssl证书知识 下的文章

何谓卫生服务系统

HSTS (HTTP严格传输安全)因特网工程组织IETE正在推广一种新的网络安全协议,该协议用于强制客户端(如浏览器)使用HTTPS与服务器建立连接。

主要目的是解决HTTPS网站第一次请求使用未加密的HTTP协议的问题,这意味着用户通常直接输入域名,如morong。我,在浏览器中访问我们的网站。然后我们的服务器检测到这是一个HTTP请求,并将301重定向到HTTPS页面。因此,该过程的前半部分使用未加密的HTTP请求,这也有被劫持的可能性。因此,HTTPS承诺的安全性大大降低了!

使hst

启用HSTS非常简单,只需在我们网站的响应头中添加HSTS即可。下面是一个简短的解释

  1. Nginx服务器

找到nginx。在网站上的服务器配置代码中添加如下代码:

HTTPS已经广泛普及,相关技术也非常成熟。要理解OCSP绑定是什么,首先必须理解OCSP是什么。OCSP (Online Certificate Status Protocol),又称在线证书状态协议,是一种用于验证证书有效性的在线查询协议。

网站的每个访问者都将执行OCSP查询。通过OCSP绑定可以代替OCSP (Online Certificate Status Protocol)来查询证书的状态。然后你可以优化HTTPS的速度,因为大多数CA的OSCP服务器都不在中国大陆

为了理解这一切,让我们从CRL开始
当用户通过HTTPS访问您的站点时,服务器需要用站点的TLS证书响应用户。用户的浏览器将检查证书的过期时间,并拒绝任何过期/无效的证书。

在某些情况下,由于私钥泄漏,服务器所有者必须将证书标记为无效,依靠证书颁发机构实现至少一种方法来撤销有问题的证书,并通知浏览器拒绝这些已撤销的证书。

CRL (Certificate Revocation List),也称为证书吊销列表,是PKI系统中的结构化数据文件,包含证书颁发机构吊销的证书的序列号和吊销日期。在用户访问您的站点之前,浏览器会先下载并解析CRL文件,然后通过CRL文件验证您的证书是否已被吊销。

随着HTTPS的普及,发布的CRL文件越来越大,这无疑增加了每个链接的网络开销。CRL无法很好地扩展的问题正变得越来越明显。

OCSP用于验证网站服务器的证书是否有效
OCSP (Online Certificate Status Protocol),又称在线证书状态协议,是一种用于验证证书有效性的在线查询协议。当用户通过HTTPS访问您的网站时,客户端浏览器将通过OCSP响应器验证网站服务器证书的有效性。(浏览器现在可以联系响应器来请求ca颁发的单个证书的撤销状态,而不必检索和处理整个CRL。)

OCSP似乎是一种有效的解决方案,但新协议已被证明存在实际问题。

性能问题,浏览器需要为每个新的HTTPS连接执行额外的HTTP请求,这增加了网络开销;
安全问题,大多数实际的OCSP实现都不够可靠(由于网络延迟、配置或应用程序错误),导致用户浏览器中的OCSP检查失败。如果无法访问OCSP服务器或服务器超时,浏览器将认为证书有效并继续HTTPS连接;
由于证书与密钥和域相关联,并且浏览器在每个新的HTTPS连接之前请求吊销状态,因此隐私问题意味着浏览器将其用户网络历史的很大一部分泄露给OCSP响应器。
OCSP绑定是对TLS证书状态查询的一种扩展
OCSP代理是一种弥补OCSP协议缺陷的方法,它允许服务器模拟浏览器提前对证书链进行验证,并将带有CA机构签名的OCSP验证结果响应保存在本地,最多可缓存7天。等到实际握手阶段再向浏览器发出OCSP响应和证书链,以避免增加浏览器的握手延迟。由于浏览器不需要直接从CA站点查询证书状态,因此该特性显著提高了访问速度。

由于绑定是在服务器端实现的,浏览器无法知道服务器端是否真正支持绑定,而且OCSP绑定本身也无法完全解决OCSP的软件故障安全问题。

因此,使用被盗证书私钥的攻击者可以通过提供没有OCSP绑定的证书来执行降级攻击。受害者的浏览器无法验证服务器是否真正支持绑定,无法继续正常查询OCSP响应程序。然后,攻击者可以简单地阻止此OCSP查询,并有效地强制浏览器接受该证书为有效证书。

OCSP Must Staple,也称为OCSP Must Staple,是CA和浏览器厂商为了防止OCSP绑定攻击而推出的SSL证书扩展。此扩展要求证书是OCSP绑定。如果浏览器遇到带有此扩展名而未使用OCSP绑定的证书,则会拒绝该证书。

必须绑定OCSP,以减轻上述降级攻击,减少流向CA的OCSP响应程序的不必要流量,也有助于提高OCSP的整体性能。

1.获取证书文件
免费证书申请链接:https://certmall.sslsq.com/Free 。在您完成申请数安时代提供免费证书的流程后,将会下载一个压缩文件,证书如下:

请选用fullchain.crt证书完成下续部署。

   2.获取私钥证书文件

请找到申请证书流程提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到。

二、安装服务器证书

  1. 修改httpd.conf文件
    去掉以下语句的注释符

LoadModule ssl_module modules/mod_ssl.so

Include conf/extra/httpd-ssl.conf

  1. 修改主机域名
    打开Apache2.x/conf/extra/目录下的httpd-ssl.conf文件,修改如下语句:

DocumentRoot "/var/www/html"
ServerName www.sslsq.com
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE
SSLCertificateFile /usr/local/apache/conf/fullchain.crt
SSLCertificateKeyFile /usr/local/apache/conf/test.key     #示例key文件

  1. 重启Apache
    保存退出,并重启Apache,通过https方式访问您的站点,测试站点证书的安装配置(如果访问不通,请查看服务器防火墙是否拦截443端口)。

三、备份和恢复
在您完成服务器证书的安装与配置后,请务必要备份好您的服务器证书,避免证书遗失给您造成不便。

  1. 备份服务器证书
    备份好证书压缩文件及证书私钥.key的文件。
  2. 恢复服务器证书
    参照步骤“二、安装服务器证书”即可完成恢复操作。

SSL证书的基本功能是对网络连接进行加密,保证信息的安全传输。在实际应用中,表现在以下几个方面:

  1. SSL证书可以帮助网站将其url从HTTP升级到加密的HTTPS,因此,大多数浏览器都会在地址栏中为带有HTTPS的链接添加一个小锁定标志。某些版本的浏览器甚至将HTTPS链接标记为“安全”,而将HTTP链接标记为“不安全”。因此,在一定程度上,浏览器为拥有SSL证书的网站提供了更加友好的显示。从网站运营者的角度来看,这种友好的提示可以提升网站的形象,如下图所示:
  1. 如果你的网站更注重营销,比如SEO排名,那么SSL证书也有一定的积极影响。百度和谷歌也发布了类似的公告,可以搜索并确认。
  2. 小程序、抖音等平台对合作网站都有相关要求,即需要使用https链接。
  3. 满足网站“等待保护”等相关策略的安全要求。
  4. OV和EV证书除了安全加密之外,还具有对网站管理员的认证功能,体现在SSL证书领域。EV级SSL证书甚至可以在某些版本的浏览器中直接显示单元名称。这在一定程度上帮助网站运营者确定自己的“官方身份”,帮助用户识别真假网站。
  5. 最重要的一点是,SSL证书帮助网站保护用户和网站之间的任何数据的安全。如果没有SSL证书,网站上用户之间的任何信息交换都会以明文方式传输,这其实是非常可怕的。正因为如此,作为一个显示网站的浏览器,它在推动SSL证书的普及方面非常积极,甚至在打开没有SSL证书的网站时,将其安全屏蔽。

SSL是一种网络加密传输协议,是一种支持在网络服务器(主机)和web浏览器(客户端)之间建立加密连接的标准技术。在网站上安装SSL数字证书后,可以通过HTTPS访问该网站。浏览器地址栏显示“锁定标识符”,点击锁定标识符显示公司/个人认证信息。这种类型的证书也类似于驾驶执照、护照和营业执照的电子副本,因为它是在服务器上配置的,也称为SSL服务器证书。

部署SSL证书的优势是什么

  1. 提升企业形象:在企业网站上安装权威证书颁发机构颁发的SSL证书,可以突出网站的专业性,增加网站访问者的信任度,大大提升企业的形象和信誉。
  2. 为了增强网站访问者的信任,如果您的网站需要个人信息登录,则必须安装SSL证书。访问者看到自己的个人信息受到很好的保护,肯定会加深对网站的信任。
  3. 吸引更多的客户:在线销售网站安装SSL证书后,肯定会吸引更多的客户购买和付款,因为对他们来说,SSL证书也是一种保证。

HTTPS协议和HTTP协议的区别:

HTTPS协议需要向CA申请证书,一般很少有免费的证书需要付费。
HTTP是一种以明文方式传输信息的超文本传输协议,HTTPS是一种安全的SSL加密传输协议。
HTTP和HTTPS使用完全不同的连接方式和端口,前者是80,后者是443。
HTTP连接简单且无状态。
HTTPS协议是由SSL+HTTP协议构建的网络协议,可以进行加密传输和身份认证,比HTTP协议更安全。