Tag: https

国内常用邮件服务器端口安全评级

DigiCert 证书停用G1

证书格式转换

利用curl来检查证书过期时间和域名是否正确匹配。

开源可用的ssl和https证书过期时间检测

开发人员在测试环境甚至正式环境下，需要自签证书实现https访问，第一个想到的是openssl的套件工具，但是参数比较繁琐，不容易记住。 这种情况下，已经有人实现了工具提供给我们使用，就是mkcert命令。 是一个用于生成本地自签名 SSL 证书的开源工具，项目基于 Golang 开发，可跨平台使用，不需要配置，支持多域名以及自动信任 CA。 接下来的步骤：1、生成根证书mkcert -install 2、签发证书mkcert youdomain.commkcert ip 查看根证书位置：% mkcert -CAROOT/Users/money/Library/Application Support/mkcert这个目录下的根证书，如果用firefox浏览器进行测试的话，需要双击进行导入，实现信任。

SSL/TLS证书的证书透明度(Certificate Transparency)是证书授权机构的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。 在线查询：https://crt.sh/https://censys.io/https://developers.facebook.com/tools/ct/https://google.com/transparencyreport/https/ct/https://transparencyreport.google.com/https/certificates

OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能，更好的是，它可能已经安装到你的系统中了。 OpenSSL是一个强大的安全套接字层密码库，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，但是，你不应该只将其作为一个库来使用，它还是一个多用途的、跨平台的密码工具。

HSTS(HTTP Strict Transport Security) 通过Web服务器上的设置，在收到HTTP访问请求时，返回的header里带有Strict-Transport-Security字段，告知浏览器必须使用HTTPs进行访问。 但是，HSTS并不能避免首次跳转时遇到的劫持。要彻底解决这个问题，可以申请加入Preload List(预加载列表)。 Preload List是由Google Chrome维护的“HTTPs站点列表”，Chrome, Firefox, Safari, Edge, IE 11均在使用。一旦浏览器发现要访问的站点在Preload List上，默认就会发起HTTPs链接。这样，就避免了HSTS的首次跳转被劫持的隐患。 SSL卸载 采用F5来做负载均衡，F5应付单纯的L4和L7的流量是没有问题的，但进行SSL卸载时性能往往会急剧降低，F5可以提供专门的加速卡来解决这个问题，但价格不便宜。所以，还需要专门环节来进行SSL卸载，常见的Nginx和HAProxy都可以执行这个任务。 客户端证书 与浏览器不同的是，C#信任的根证书在localmachinestore或者currentuserstore中，Java信任的根证书在JDK安装目录下的cacerts目录中，iOS和Android的证书管理又有不同。 浏览器的证书在使用中又可以持续更新，用户往往感知不到，如果“想当然”认为浏览器验证通过就万事大吉，很可能会出问题。比如国内有不少网站使用WoSign签发的证书，但老版本的JDK并不信任WoSign的根证书，用浏览器浏览没问题的网站，程序就会报错，除非手动导入证书。Android的信任列表是随固件更新而更新的，4.2以后才内置WoSign的信任。因为WoSign行为不端，前几天Firefox, Chrome, Safari等主流浏览器又取消了对它的信任，也就意味着WoSign证书有安全风险，所以已经内置WoSign根证书的程序也应当做对应的设置。 服务器端证书 用浏览器验证没有问题的HTTPs站点，用程序访问就有问题。这是为什么? 在服务器上证书配置错误，只有最终证书，而缺少中级证书的情况。通常，最终证书里包含了中级证书相关的信息，所以如果缺少中级证书，浏览器为了建立证书链，会做一次耗时的操作来获取中级证书，而且这一切都发生在HTTPs连接真正建立之前。更糟糕的是，不少浏览器为了“表现更好”，会想办法绕过这个问题。所以缺少中级证书的情况一直存在，一直不会被发现，而程序调用的速度总是上不去，甚至有一定几率报错。 证书大小： 如果把证书链配置完全，还要注意证书链的大小。有一些网站的完整证书异乎寻常地大，达到若干kb甚至几十kb，也就是说，在建立连接之前，就必须先传输这么多的数据。如果做单纯的PC网页浏览，或许不会有问题。但对于移动端和程序调用来说，这就是一场灾难。最好的办法，是用OpenSSL配合WireShark之类的工具，自己动手来测试。如果你熟悉TCP相关的知识，往往可以得到更好的优化方案。 OCSP和CRL也不可忽略。这两项技术用来保证撤回证书(让证书失效)的有效性。如果你仔细观察，会发现证书里都指定了对应的OCSP或者CRL的URL，用来检查证书是否失效。按道理说，在每次建立HTTPs连接时，都应当进行OCSP或CRL检查。返回结果通常在1k左右，如果请求非常频繁，这个因素也应当考虑。 SNI 大家都熟悉“虚拟主机”的概念，它可以让多个域名对应到同一个IP，让同一台服务器服务多个站点。在HTTP时代，可以在header中通过host来指定需要访问的域名，一切看起来都那么完美。 但是在HTTPs时代，却没有这样的好事，传统的HTTPs服务很难让多个域名对应到同一个IP。在进行到HTTP通讯之前，必须先建立验证证书建立连接。如果一个IP上绑定了多个域名，这个阶段服务器根本没法知道请求对应的是哪个域名，无疑会造成极大的不便。 为了解决这种问题，SNI(Server Name Identification)应运而生了。这种技术说起来复杂，大家可以把它简单理解为“建立SSL/TLS通讯时的host header”，这样就解决了一个IP只能配单张证书的问题。 然而SNI的诞生历史并不长，许多客户端的支持都存在奇怪的问题。比如JDK7支持SNI，但是JDK8的支持又有bug。而且这种支持往往需要调用原生的API才可以实现，Resteasy之类的类库并不支持。如果对SNI的支持有问题，即便配置正确也可能无法建立连接，因为服务端并不能识别此请求需要的证书。 CDN CDN已经是业界流行的技术了，对稍微大一点的网站来说，没有CDN几乎是不可想象的。HTTP时代的CDN方案相当成熟，HTTPs的情况则不是如此。 要使用HTTPs的CDN服务，就要决定是否将证书交给CDN提供商。基于中国目前的商业信誉水平，把证书交给CDN提供商的风险不可不考虑。恶意揣测，别有用心的人一旦拿到证书，可以很方便地通过DNS劫持发起中间人攻击，而完全不被感知到。 另外，HTTP时代大家都喜欢将资源分散到多个不同的域名，因为建立连接的成本很低，而同一个域名的并发连接数有限。在HTTPs环境下，每次建立连接的成本高了很多，频繁下载和验证证书对移动设备和移动网络影响很大(尤其是证书很大的情况)。如果域名非常分散，影响就更加显著。所以在HTTPs时代，把域名收缩集中反而是更好的办法。 内容及其它 因为HTTPs的内容中无法引用HTTP的资源，所以应当保证网页中资源文件的链接都是HTTPs的。遗留的许多系统很可能并不注意这些事情，资源都采用绝对地址的形式，这样改起来工作量很大。如果要修改，最好一步到位，直接改成“协议相对URL”。 绝对地址URL：http://www.a.com/b.css 协议相对URL：//www.a.com/b.css 这样浏览器就可以根据当前的协议，自动生成资源的绝对地址，无论是HTTP还是HTTPs，都可以自由切换。 如果资源都是自有的，切换HTTPs就相对容易。如果存在外部，尤其是UGC的资源，切换到HTTPs就很麻烦。如果是超链接，通常采用专门的跳转服务，也就是下面这样： https://link.my.com/target=www.you.com 如果是图片这类资源，可以设定专门的程序将其抓取过来存放在自己的服务器上，再将地址替换掉即可。但是，这样做很可能要自己承担流量压力，同时还要承担恶意程序攻击的风险。 如果是视频、游戏等富文本、交互复杂的资源，如果源站没有提供HTTPs的服务，多半只能忍痛割爱，放弃内嵌展现的形式了。

为什么必须启用HTTPS加密? 1、HTTPS加密使网站速度更快! 首先强调速度是因为，一个网站的性能通常跟访客销售转化、页面加载时间对收入的影响等指标直接挂钩。这是一个被非常非常非常广泛记录的问题，有很多大型网站和工具可以展示HTTPS如何变得更快。 2、HTTP/2协议只支持HTTPS加密连接 我们终于在网络技术方面取得了一次大飞跃，推出了HTTP/2协议取代已经使用了超过15年的HTTP/1.1协议。使用HTTP/2有一大堆的好处，但是在这篇文章里我们需要关注的关键点就是：所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接，才能使用HTTP/2。这对网站所有者来说是另一个有利的推动因素。 3、HTTP页面将标记”不安全” 当用户访问网站时，没人想要浏览器上的红色警告，但是如果你的网站采用HTTP链接来传输数据，那红色警告将成为常态。 以前浏览器对不安全的HTTP页面没有任何标记，而只含有部分不安全因素的HTTPS页面却显示安全警告，让人们误以为含有不安全因素HTTPS页面不如HTTP页面安全，这是非常错误的。谷歌和火狐将在标识上做进一步优化，区分HTTP不安全连接和HTTPS安全连接，谷歌Chrome将为所有HTTP网站打红叉，用户可以在Chrome 48或者部分更老版本中体验到这项全新的功能;火狐浏览器将从 Firefox 的开发版 46 开始，对”使用非HTTPS提交密码”的页面进行警告。网站所有者将有更充分的理由让网站支持HTTPS加密。 4、HTTPS加密提升搜索排名 所有人都希望得到很好的搜索引擎排名，网站使用HTTPS加密连接可以帮助你的网站提升搜索引擎排名!谷歌早在2014年就宣布，将把HTTPS加密作为影响搜索排名的重要因素，并优先索引HTTPS网页。百度也公告表明，开放收录https站点，同一个域名的http版和https版为一个站点，优先收录https版;百度官方还表示，网站HTTPS加密不会对流量产生负面影响。在搜索引擎巨头的倡导和实践下，我们可以预见HTTPS加密将在未来产生越来越大的影响力。 5、HTTPS加密防止中间人流量劫持 当你的网站通过HTTP连接传输网页内容时，WiFi节点、运营商、路由器等任何传输节点都可以对网站传输内容进行劫持、篡改、恶意注入等，比如早已见惯的广告弹窗。很多人已经对此麻木，并认为流量劫持不会造成什么损失，但是服务器采取HTTP不安全连接，其实是给黑客留下一道后门，可以向你的网页注入任意恶意内容，如盗号木马等，通过多种你无法觉察的方式窃取网站数据或向您的终端用户下手。HTTPS加密可以有效阻止流量劫持，尤其是全站HTTPS加密，封装所有流量加密传输，让中间人没有可乘之机。 6、iOS和安卓都要求使用HTTPS加密 苹果iOS的App Transport Security和谷歌安卓的usesCleartextTraffic manifest attribute，都推动移动APP默认使用HTTPS加密连接进行通信。苹果iOS强制APP使用HTTPS加密连接，并且要求非常严格，包括只使用TLS1.2协议，必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。如果你的内容或API接口需要在移动APP上使用，那么必须按要求使用HTTPS加密连接。 7、超级权限应用禁止使用HTTP连接 谷歌Chrome安全团队宣布，采用不安全连接访问浏览器特定功能将被禁止访问，例如地理位置应用、应用程序缓存、获取用户媒体等。 采用不安全的HTTP连接访问用户位置信息并发送，可能造成用户信息的泄漏，确保这类超级权限功能全程使用HTTPS安全连接是使用这些功能的重要步骤。如果你最近使用了一些这样的功能并且希望继续在你的网站上使用，那么你必须让这些页面使用HTTPS加密连接。同样，如果你想增加这些功能，你需要首先设置HTTPS加密连接。 使用HTTPS加密的误区 1、HTTPS加密降低网站性能? 虽然TLS的计算量较大，但以目前的设备性能和硬件技术来说，已经不成问题。淘宝、天猫于2015年实现全站HTTP加密，涉及数百个应用、超百万个页面，并顺利通过”双十一”海量流量考验。淘宝分享全站HTTPS技术改造细节时，阿里巴巴技术保障部技术专家李振宇介绍，阿里电商在启用全站HTTPS后，性能不降反升，用户访问网站和移动端更为流畅。 2、启用HTTPS加密成本昂贵? 启用HTTPS加密需要向CA机构申请SSL证书， Startcom可提供免费SSL证书。个人站长的博客站点可以申请免费SSL证书，零成本实现HTTPS加密，而企业级网站建议还是付费申请企业级以上的SSL证书，如OV SSL证书或EV SSL证书。任何新站点或新的web应用都应该上线前启用HTTPS加密，这是最经济有效的方式。已经上线但尚未启用HTTPS加密的网站，可以向沃通CA咨询HTTPS加密改造方案，尽早开启HTTPS加密，迎接全球HTTPS加密浪潮。