键入网址到网页显示,期间发生了什么?
- 浏览器解析请求的 URL
http: + // + domain.com + / + index.html 协议 + // + 服务器地址 + / + 文件路径
- 生成 HTTP 请求报文
GET / HTTP/1.1 Accept: */*
- DNS 查询
记录-交流-Web开发知识分享
OCSP stapling 是一种 TLS/SSL 扩展,旨在提高 SSL 协商的性能,同时维护访问者的隐私。在继续进行配置之前,先简要介绍一下证书吊销的工作原理。本文使用StartSSL 颁发的免费证书进行演示。
OCSP(在线证书状态协议)是一种用于检查 SSL 证书是否已被吊销的协议。它是作为 CRL 的替代品创建的,以减少 SSL 协商时间。使用 CRL(证书撤销列表),浏览器会下载已撤销证书序列号的列表并验证当前证书,这会增加 SSL 协商时间。在 OCSP 中,浏览器向 OCSP URL 发送请求并接收包含证书有效性状态的响应。以下屏幕截图显示了digitalocean.com的 OCSP URI 。
OCSP 有两个主要问题:隐私和 CA 服务器的负载过重。
由于
什么是OCSP Stapling
OCSP装订(OCSP Stapling),也称OCSP封套,是一个TLS证书状态查询扩展,作为在线证书状态协议的代替方法对X.509证书状态进行查询,目的是让证书使用者(例如浏览器)如何知道一个证书是否有效(证书颁发者有时候需要作废某些证书)。OCSP 响应本身经过了数字签名,无法伪造,所以 OCSP Stapling 技术既提高了握手效率,也不会影响安全性。
服务器在TLS握手时可以发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求.…
本文是根据阅读参考文章再自己总结的复习文章,推荐阅读原文(附在了文章底部)
HSTS(HTTP Strict Transport Security),简单概括他的作用,就是强制客户端使用HTTPS访问页面的。…
HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。 如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。 目前大多数主流浏览器都支持 HSTS (只有一些移动浏览器无法使用它)。…
将 nginx 更新到较新版本时,您可能会遇到已弃用的配置。Nginx 使用类似 YAML 的定义格式来创建配置。这种格式随着时间的推移通过添加、删除或更改关键字而发展。
本教程向您展示如何修复 nginx 的“ssl” deprecation warning telling you to use “listen … ssl”。…
密码学可能是一门很难理解的学科。它充满了数学证明。但是,除非您实际上正在开发密码系统,否则大部分的复杂性对于理解高层次上发生的事情都是不必要的。
如果您打开这篇文章希望创建下一个 HTTPS 协议,很抱歉,用鸽子来说明是不充分的。好吧,现在开始冲泡咖啡并欣赏这篇文章。…
在 MozillaWiki 中推荐了三种配置,分别是现代兼容性、中级兼容性(默认)和旧的向后兼容性。
现代兼容性
对于不需要向后兼容性的服务,以下参数提供更高级别的安全性。 此配置与 Windows 7,Edge,Opera 17,Safari 9,Android 5.0 和 Java 8 上的 Firefox 27,Chrome 30,IE 11 兼容。
1 |
近期评论