Day: October 15, 2018

EV EV证书(Extended Validation Certificate)是一种根据一系列特定标准颁发的X.509电子证书，根据要求，在颁发证书之前，证书颁发机构(CA)必须验证申请者的身份。不同机构根据证书标准发行的扩展验证证书并无太大差异，但是有时候根据一些具体的要求，特定机构发行的证书可以被特定的软件识别 OV OV证书(Organization Validation SSL)，指需要验证网站所有单位的真实身份的标准型SSL证书，此类证书不仅能够起到网站信息加密的作用，而且能向用户证明网站的真实身份。 DV DV证书(Domain Validation SSL)，指需要验证域名的有效性。该类证书只提供基本的加密保障，不能提供域名所有者的信息。 HPKP 公钥固定，这是一种https网站防止攻击者使用CA错误颁发的证书进行中间人攻击的一种安全机制，用于预防诸如攻击者入侵CA偷发证书、浏览器信任CA签发伪造证书等情况，采用该机制后服务器会提供一个公钥哈希列表，客户端在后续的通信中只接受该列表上的一个或多个公钥。HPKP是一个响应头 Public-Key-Pins:max-age=xxx;pin-sha256=xxxx;includeSubDomains; 其中可以使用多个pin-sha256，pin-sha256的值是对证书公钥sha256的值，includeSubDomains决定是否包含所有子域名，在max-age所指定的时间内(秒)，证书链中的证书至少一个公钥须和固定公钥相符，这样客户端才认为该证书链是有效的。 还有一种响应头： Public-Key-Pins-Report-Only:max-age=xxx;pin-sha256=xxxx;includeSubDomains;report-uri=xxx Public-Key-Pins-Report-Only中的report-uri，决定是否回报违反HTTP公钥固定策略的事件。客户端进行HTTP公钥固定验证失败后，将把此次错误详情以JSON格式回报个report-uri参数中指定的服务器。 CAA CAA : DNS Certification Authority Authorization，使用DNS来指定该域名可以由哪些CA机构签发证书，这不是为TLS层的安全提供保证，而是作为CA签发证书程序中的一部分。使用CAA可以避免一些CA签发错误证书的情况。 SNI SNI(服务器名称指示)，这个是一个扩展的TLS协议，在该协议中，在TLS握手过程中客户端可以指定服务器的主机名称，这允许服务器在相同的IP和端口上部署多个证书，并允许在相同的IP地址上提供多个HTTPS网站或者基于TLS的服务。 ALPN ALPN(应用层协议协商 Application-Layer Protocol Negotiation) 是一个进行应用层协议协商的传输层安全协议(TLS)扩展，ALPN允许应用层协商应该在安全连接上实行哪个协议，以避免额外且独立于应用层协议的往返协商通信。它已被HTTP/2使用。 NPN NPN(Next Protocol Negotiation) 下一协议协商，在TLS上允许应用层协商使用哪个协议，在2014年7月11日的RFC 7301中使用ALPN代替NPN h2 HTTP/2 的协议名称，口语叫法HTTP2和http/1.1 是一个概念，通过ALPN协商。 HTTP/2 中只能使用 TLSv1.2+协议。 CSR CSR(Certificate Signing Request)，在PKI系统中，CSR文件必须在申请和购买SSL证书之前创建，也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件 CT CT (Certificate Transparency)…