crackerben-letsencrypt分分钟教你.pdfVIP

MITM HTTPS 中间人攻击到底是什么个玩 意？ 2/21 引用一下我以前写的一篇文章： 3/21 4/21 5/21 为什么要https ？ 运营商网页篡改 gfw ... 6/21 ssl过程介绍 RSA ECDHE_RSA ECDHE_ECDSA 8/21 9/21 10/21 ECDHE 11/21 前向安全性 如果攻击者抓取并保存流量，那么将来私钥泄露后，攻击者也无法 利用泄露的私钥解密这些流量。 12/21 ECDHE过程简要介绍 （现在绝大部分的TLS连接都是这 样的）： 1.服务器发送自己拿去给ca签过的证书(可以是ECC也 可以是RSA)给客户端，并且用自己证书里的公钥签名 一个临时生成的 ECC 临时公钥 给客户端 2.客户端验证服务器证书的有效性，并通过证书里的公 钥验证 ECC 临时公钥 确实来自正确的服务器。 3.客户端生成自己的 ECC 临时公钥 ，直接给服务器。 4.客户端和服务器，通过各自收到的对方的 ECC 临时公 钥 ，结合自己的ECC临时私钥直接生成会话所需要的对 称加密共享密钥。 5.用对称加密进行接下来的会话。 13/21 ssl 申请流程 KEY CSR CER 15/21 16/21 17/21 18/21 19/21 知识扩展 我们如何防御用户的手动输 入http的访问 ？ 21/21 22/21 23/21 HSTS add_header Strict-Transport-Security max-age includeSubDomains always; 强制让浏览器下次访问该网站时 自动从http跳转(不会再有302重定 向) 24/21 我们如何防御不可信任的 ＣＡ伪造证书 ？ 25/21 HPKP 它的工作原理是通过响应头告诉浏览器当前网站的证书指纹，以及 过期时间等其它信息。未来一段时间内，浏览器再次访问这个网站 必须验证证书链 中的证书指纹，如果跟之前指定的值不匹配，即便 证书本身是合法的，也必须断开连接。并且会向你指定的url提交本 次记录。 openssl x509 -in intermediate.pem -noout -pubkey | openssl asn1parse -noout -inform pem -out public.key openssl dgst -sha256 -binary public.key | openssl enc -base64 code Public-Key-Pins: pin-sha256=base64