目錄

• 怎么證明我是我？
• 加密算法的相關概念？
• 全站的一些思考 ？

• 怎么證明我是我？

我是誰.png

• 加密算法的相關概念？

明文/密文

cipher.png

對稱密鑰

特點：速度快，加密和解密是同一個，密鑰一定不能泄露
算法： DES、3DES、AES、RC5、RC6

非對稱密鑰

Paste_Image.png

特點：不需要共享密鑰,私鑰不能外泄
算法： RSA

數(shù)字簽名

作用：驗證傳輸?shù)膬热菔遣皇钦鎸嵎掌靼l(fā)送的數(shù)據(jù)，發(fā)送的數(shù)據(jù)有沒有被篡改過，它就干這兩件事，是非對稱加密的一種應用場景。不過他是反過來用私鑰來加密，通過與之配對的公鑰來解密。

CA 數(shù)字證書

作用：質檢部門，被認可（瀏覽器）的

• 全站的一些思考？

HTTPS: TLS 層和證書機制提供了內容加密、身份認證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被查看或篡改，以及防止中間人冒充。

思考一：混合內容

https://imququ.com/post/sth-about-switch-to-https.html

思考二：HSTS && Preload List

1. HSTS 可以很好的解決 HTTPS 降級攻擊，但是對于 HSTS 生效前的首次 HTTP 請求，依然無法避免被劫持。瀏覽器廠商們?yōu)榱私鉀Q這個問題，提出了 HSTS Preload List 方案：內置一份列表，對于列表中的域名，即使用戶之前沒有訪問過，也會使用 HTTPS 協(xié)議；列表可以定期更新。

2. Preload List：解決HSTS 生效前的首次 HTTP 請求，依然無法避免被劫持;內置一份列表，對于列表中的域名，即使用戶之前沒有訪問過，也會使用 HTTPS 協(xié)議；列表可以定期更新。

注意項：你不能確保永遠提供 HTTPS 服務，就不要啟用**。因為一旦 HSTS 生效，你再想把網(wǎng)站重定向為 HTTP，之前的老用戶會被無限重定向，唯一的辦法是換新域名

思考三：CDN

1. 支持HTTPS
2. 安全問題、SRI
3. 證書的問題，私鑰給到第三方，key server

參考原文：https://imququ.com/post/sth-about-switch-to-https.html

思考四：SSL卸載

？性能
F5加速卡，nginx 和haproxy

思考五：客戶端證書、服務器端證書

？用瀏覽器驗證沒有問題的HTTPs站點，用程序訪問就有問題。這是為什么？
? 中間證書
? 證書鏈的大小

思考六：OCSP & CRL

CRL: 紀錄被CA所撤銷的憑證清單

Paste_Image.png

OCSP: 提供線上動態(tài)查詢憑證的狀態(tài)

https://translate.google.com.tw/translate?hl=zh-CN&sl=zh-TW&u=http://ijecorp.blogspot.com/2016/01/ocsp-crl.html&prev=search

思考七：SHA-1

http://www.wosign.com/news/STOP_SHA1.htm

思考八：多個域名對應一個IP

SNI

并發(fā)連接數(shù) 帶寬 域名收縮