https那些你知道和不知道的事兒

1、HTTPS 那些你知道的和你不知道的事兒演講人：酸酸哥什么是HTTPS在說HTTPS之前先說說什么是HTTP，HTTP（超文本傳輸協(xié)議）就是我們平時瀏覽網(wǎng)頁時候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸，于是網(wǎng)景公司設計了SSL（Secure Sockets Layer）協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進行加密，從而就誕生了HTTPS（超文本傳輸安全協(xié)議）。https是超文本傳輸協(xié)議和SSL/TLS的組合，用以提供加密通訊及對網(wǎng)絡服務器身份的鑒定 https使用的默認端口是443.https是以安

2、全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSLHTTPS的工作原理HTTPS在傳輸數(shù)據(jù)之前需要客戶端（瀏覽器）與服務端（網(wǎng)站）之間進行一次握手，在握手過程中將確立雙方加密傳輸數(shù)據(jù)的密碼信息。TLS/SSL中使用了非對稱加密，對稱加密以及HASH算法SSL 的握手過程1.瀏覽器將自己支持的一套加密規(guī)則發(fā)送給網(wǎng)站。2.網(wǎng)站從中選出一組加密算法與HASH算法，并將自己的身份信息以證書的形式發(fā)回給瀏覽器。證書里面包含了網(wǎng)站地址，加密公鑰，以及證書的頒發(fā)機構(gòu)等信息。獲得網(wǎng)站證書之后瀏覽器要做以下工作：a) 驗證證書的合法性（頒發(fā)證書的機構(gòu)是否合法

3、，證書中包含的網(wǎng)站地址是否與正在訪問的地址一致等），如果證書受信任，則瀏覽器欄里面會顯示一個小鎖頭，否則會給出證書不受信的提示。b) 如果證書受信任，或者是用戶接受了不受信的證書，瀏覽器會生成一串隨機數(shù)的密碼，并用證書中提供的公鑰加密。c) 使用約定好的HASH計算握手消息，并使用生成的隨機數(shù)對消息進行加密，最后將之前生成的所有信息發(fā)送給網(wǎng)站。網(wǎng)站接收瀏覽器發(fā)來的數(shù)據(jù)之后要做以下的操作：a) 使用自己的私鑰將信息解密取出密碼，使用密碼解密瀏覽器發(fā)來的握手消息，并驗證HASH是否與瀏覽器發(fā)來的一致。b) 使用密碼加密一段握手消息，發(fā)送給瀏覽器。瀏覽器解密并計算握手消息的HASH，如果與服務端發(fā)來

4、的HASH一致，此時握手過程結(jié)束，之后所有的通信數(shù)據(jù)將由之前瀏覽器生成的隨機密碼并利用對稱加密算法進行加密搭建HTTPS服務/$PATH/nginx-1.0.6/sbin/nginx -V 查看nginx有沒有裝http_ssl_module模塊 ，如果沒有裝那么需要裝一個該模塊 apt-get install openssl要設置安全服務器，使用公共鑰創(chuàng)建一對公私鑰對。大多數(shù)情況下，發(fā)送證書請求（包括自己的公鑰），你的公司證明材料以及費用到一個證書頒發(fā)機構(gòu)(CA).CA驗證證書請求及您的身份，然后將證書返回給您的安全服務器。但是內(nèi)網(wǎng)實現(xiàn)一個服務器端和客戶端傳輸內(nèi)容的加密，可以自己給自己頒發(fā)證

5、書，只需要忽略掉瀏覽器不信任的警報即可！ cd /$PATH/nginx/conf/生成SSL證書rootvm ssl# openssl genrsa -des3 -out server.key 1024Enter pass phrase for server.key: 提示輸入密碼,此密碼用于加密key文件.以后每當需讀取此key文件都需輸入此密碼Verifying - Enter pass phrase for server.key:rootvm ssl# lsserver.key一般情況下，制作證書要經(jīng)過幾個步驟，如上圖所示。首先用openssl genrsa生成一個私鑰，然后用open

6、ssl req生成一個簽署請求，最后把請求交給CA，CA簽署后就成為該CA認證的證書了。如果在第二步請求時加上-x509參數(shù)，那么就直接生成一個self-signed的證書，即自己充當CA認證自己。openssl genrsa -des3 -out server.key 1024openssl req -new -key server.key -out server.csrcp server.key openssl rsa -in -out server.keyopenssl x509 -req -days 365 -in server

7、.csr -signkey server.key -out server.crt配置nginxserver server_name YOUR_DOMAINNAME_HERE; listen 443; ssl on; ssl_certificate /usr/local/nginx/conf/server.crt; ssl_certificate_key /usr/local/nginx/conf/server.key;OK, 完成了。但這樣證書是不被信任的，自己玩玩還行，要被信任請看下面。受瀏覽器信任的StartSSL免費SSL證書StartSSL（網(wǎng)址：http:/，公司名：StartCom

8、）是一家CA機構(gòu)，它的根證書很 久之前就被一些具有開源背景的瀏覽器支持（Firefox瀏覽器、谷歌Chrome瀏覽器、蘋果Safari瀏覽器等）。StartSSL竟然搞定了微軟：微軟在升級補丁中，更新了通過Windows根證書認證程序（Windows Root Certificate Program）的廠商清單，并首次將StartCom公司列入了該認證清單，這是微軟首次將提供免費數(shù)字驗證技術的廠商加入根證書認證列表中,現(xiàn)在，在 Windows 7或安裝了升級補丁的Windows Vista或Windows XP操作系統(tǒng)中，系統(tǒng)會完全信任由StartCom這類免費數(shù)字認證機構(gòu)認證的數(shù)字證書，從而

9、使StartSSL也得到了IE瀏覽器的支持。注冊成為StartSSL（http:/） 用戶，并通過郵件驗證后，就可以申請免費的可信任的SSL證書了。Hi XXXX,Congratulations on your new StartSSL account! Things you should know before proceeding:During enrollment a client certificate has been installed into your browser for authentication purpose. This certificate allows you

10、 to securely access your account in the future. Make sure to *backup* this certificate including the private key to an external media! Failing to do so may result in the loss of your account. See also https:/ for more information about how to backup your client certificates.Even though StartSSL prov

11、ides certificates generally free of charge, revocations thereof may carry a handling fee. Take great care of your private keys, save and backup all files all the time!Take a minute of your time and visit the Tool Box section of your control panel, which provides you with many tools and utilities. Th

12、ey might help you during the various tasks of validation, creation and installation of your certificates.Thank you for choosing StartSSL!First, use the StartSSL Control Panel to create a private key and certificate and transfer them to your server. Then execute the following steps (if you use a clas

13、s 2 certificate replace class1 by class2 in the instructions below):Decrypt the private key by using the password you entered when you created your key:openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.keyAlternatively you can also use the Tool Box decryption tool of your StartSSL account.Protect you

14、r key from prying eyes:chmod 600 /etc/nginx/conf/ssl.keyFetch the Root CA and Class 1 Intermediate Server CA certificates:wget http:/ http:/ a unified certificate from your certificate and the CA certificates:cat ssl.crt sub.class1.server.ca.pem ca.pem /etc/nginx/conf/ssl-unified.crtConfigure your nginx server to use the new key and certificate (in the globa