Let’sencrypt计划为网站提供免费的基本SSL证书，以加速互联网从HTTP向HTTPS过渡。该项目由Mozilla、Cisco、Akamai、IdenTrust、EFF和密歇根大学研究人员共同参与。https的ssl证书问题一直是广大站长头疼的问题，自从百度宣布https站点正常收录并优先抓取以来，很多网站开始向https过渡,最近Apache和Nginx新版本相继开始支持http/2，由于http/2必须使用https，使得ssl的证书问题更加迫切。ssl证书一般价格比较昂贵，Comodo这些廉价证书又无法续期。Let’sencrypt项目雪中送炭，很好的解决了SSL证书问题。该项目目前已经开始邀请测试（内测），并将于2015年12月3日公开测试。由于国内的DNS服务器容易查询超时（包括dnspod，阿里云解析），推荐使用国外的DNS服务器解析，panni的域名采用的是he.net的DNS服务，he.net的官网：dns.he.net DNS服务器为以下5组：ns1.he.net ns2.he.net ns3.he.net...

中文原文：HTTPS,SPDY和HTTP/2性能的简单对比 整理自：ASimplePerformanceComparisonofHTTPS,SPDYandHTTP/2 请尊重版权，转载请注明来源，谢谢！这几天手机不断被联通劫持，用知乎日报都会被插入联通的垃圾广告，更别说在微信中访问第三方网站了。于是关注了一下防止网站被运营商劫持的技术，这里推荐Fenng之前发的文章，在流氓无下限的运营商的手段下面，我们能做的其实并不多。而HTTPS和SPDY其实是更好的技术，不仅能保证不被运营商劫持，更能保护用户的数据安全。正好看到这篇关于HTTPS、SPDY和即将变为现实的HTTP/2的文章，觉得比较有价值，就顺手翻译了过来。以下为翻译：Firefox35这周发布了，成为第一个默认开启支持HTTP/2协议的浏览器。Chrome也支持了，只是以SPDY4的名义，并且要自己在about://flags里面手动开启。不过HTTP/2规范还没有最终完成，所以Firefox实际上支持的是HTTP/2第14版草案，这个版本的草案离最终发布可能不会有大改动了。Google现在在其服务器上同时支...

 　　最近在学习使用Fiddler抓包工具时遇到一个问题，Fiddler默认只对HTTP协议进行抓包，如果出现下图提示，则需要进行相应设置才可以抓包HTTPS 　  　　具体步骤　　　　①：Tools-Options　　　　 　　　　②：切换到HTTPS选项卡，勾选【CaptureHTTPSCONNECTs】（捕获HTTPS连接）和【DecryptHTTPStraffic】（解密HTTPS通信），　　　　　　接着点击【Actions】（行动）-【TrustRootCertificate】（信任根证书），然后按照提示一路yes，　　　　　　直到弹框提示【TrustCertsuccess】（信任证书成功）点击确定后，重启Fiddler就可以抓取HTTPS协议的数据包了　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　   　　  Fiddler下载地址：https://www.cnblogs.com/miantest/p/7289694.html&nb...

安装过程略。本地调试，可以安装自签名证书，安装方法参考https本地自签名证书添加到信任证书访问将上面的配置文件拷贝到conf目录，添加或者修改节点如下http{server{listen443ssl;server_namewww.aaa.com;sslon;ssl_certificatewww.aaa.com+5.pem;ssl_certificate_keywww.aaa.com+5-key.pem;ssl_session_cacheshared:SSL:1m;ssl_session_timeout5m;ssl_ciphersHIGH:!aNULL:!MD5;ssl_prefer_server_cipherson;#charsetkoi8-r;access_loglogs/aiPlatform/access_log;error_loglogs/aiPlatform/error_logerror;location/{proxy_passhttp://127.0.0.1:8111;proxy_redirectoff;proxy_set_headerHost$host;proxy_set...

本文适用于基于https(http+ssl)的网站通信、本地调试等，上线是请寻找免费ssl证书申请。本地调试过程中，一些特殊的场景需要我使用http+ssl通信，比如在Chrome中使用客户端麦克风。笔者起初使用以下一些命令，在linux、windows进行自签名，但是没能得到Chrome的信任，本地Chrome版本76.01.使用openssl生成密钥privkey.pem：opensslgenrsa-outD:developginx-1.14.2confprivkey2.key1024/2038证书信息可以随便填或者留空，只有CommonName要根据你的域名填写。2.使用密钥生成证书server.pem：opensslreq-new-x509-keyD:developginx-1.14.2confprivkey2.key-outD:developginx-1.14.2confserver2.pem-days365 典型的症状就是报错：1、ERR_CERT_AUTHORITY_INVALID2、SubjectAlternativeNamemissing如下图：后来在网上一...

参考来源:https://www.cnblogs.com/imfjj/p/9058443.htmlhttps://blog.csdn.net/jackymvc/article/details/81077885配置证书:keytool-genkeypair-aliastomcat-keyalgRSA-keystoretomcat.key依次填入以下内容:mcat.key输入密钥库口令:再次输入新口令:您的名字与姓氏是什么?[Unknown]:localhost您的组织单位名称是什么?[Unknown]:localhost您的组织名称是什么?[Unknown]:xxxCo,.Ltd您所在的城市或区域名称是什么?[Unknown]:KunShan您所在的省/市/自治区名称是什么?[Unknown]:SuZhou该单位的双字母国家/地区代码是什么?[Unknown]:ChinaCN=localhost,OU=localhost,O="xxxCo,.Ltd",L=KunShan,ST=SuZhou,C=China是否正确?[否]:y输入<tomcat>的密钥口令(如果和密钥库口令相同...

由于fiddler安装后默认只能抓取http请求，如果需要抓取https请求需要进行配置。配置方式：Tools--->Options--->HTTPS，勾选CaptureHTTPSCONNECTs、DecryptHTTPStraffic、ignoreservercertificateerrors(unsafe)，点击OK，会弹出证书直接确认即可。此时，在电脑chrome浏览器上就可以访问https的请求了，且fiddler会话列表上就可以显示出https请求。在配置移动端证书之前检查下如下配置，Tools---->Connections---->勾选Allowremotecomputerstoconnect：  ...

今天摸索了下HTTPS的证书生成，以及它在Nginx上的部署。由于博客托管在github上，没办法部署证书，先记录下，后续有需要方便快捷操作。本文的阐述不一定完善，但是可以让一个初学者了解大致的原理，同时跟着操作可以为自己的博客/网站部署一个HTTPS证书。 网站部署HTTPS的重要性看看下面，部分电信用户访问京东首页的时候，会看到右下角有一个浮动广告：小白用户以为是京东有意放置的，细心的用户会发现，这个iframe一层嵌一层的恶心广告很明显是电信/中间人通过DNS劫持注入进去的，十分恶心，没有关闭按钮。随着互联网的快速发展，我们几乎离不开网络了，聊天、预订酒店、购物等等，我们的隐私无时无刻不暴露在这庞大的网络之中，HTTPS能够让信息在网络中的传递更加安全，增加了haker的攻击成本。HTTPS区别于HTTP，它多了加密(encryption)，认证(verification)，鉴定(identification)。它的安全源自非对称加密以及第三方的CA认证。简述HTTPS的运作如上图所示，简述如下：客户端生成一个随机数 random-client，传到服务器端（...

首先需要去申请一个域名签名证书,在腾讯云,阿里云都有免费版,然后下载下来按如下配置,请根据自己路径更改server{listen80;server_namexxx.xxx.cn;root/home/wwwroot/xxxx/public;listen443ssl;indexindex.phpindex.htmlindex.htm;ssl_certificate_key/usr/local/nginx/cert/2588518_xxx.xxx.cn.key;ssl_certificate/usr/local/nginx/cert/2588518_xxx.xxx.cn.pem;ssl_session_timeout5m;ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_prefer_server_cipherson;location/{try_files$uri$uri//index.php?$...

问题描述：　　症状1：采用IE浏览器通过https/http协议访问网站时，总是提示：“此网站的安全证书存在问题。”　　症状2：采用搜狗浏览器打开网页总是看到网页的图片等元素显示不完整，是一个X的小图片。解决方法：　　原因是由于计算机的系统时间与当前的实际时间不符合。修改计算机时间为当前真实时间即可。有时需要重启浏览器后才有效。...

http://www.infoq.com/cn/news/2015/02/https-spdy-http2-comparison/ https://segmentfault.com/a/1190000002765886 SPDY对当前的HTTP协议有4个改进：多路复用请求；对请求划分优先级；压缩HTTP头；服务器推送流（即ServerPush技术）；SPDY试图保留HTTP的现有语义，所以cookies、ETags等特性都是可用的。[3]  SPDY令人赞叹。这是十几年来对HTTP的第一次真正的升级，它不仅解决了高延迟移动网络的性能问题，还增强了Web的安全性。SPDY与HTTP有许多区别，但它最大的价值是它能通过复用仅仅一条（或几条)TCP连接，在客户端与服务器间发送几十个请求或回应。之前的评测吹嘘说SPDY极其强力，从页面加载速度变两倍到相比纯HTTP用SPDY和HTTPS能让无线网站加载速度快23%。不过在实际生活中的网站上我没发现有这么大的进步。老实说，我的测试表明SPDY仅比HTTPS快一点点，同时还比HTTP要慢。为什么？简单的说，S...

上面介绍了，调用IE来打开对应的网页问题，但是在实际测试中，有些网站是采用https协议的，这时候IE浏览器会弹出如下窗口，一般手动选择后，才可进入登录界面，那么该如何解决呢？ 1、点击【继续浏览此网页】后进入登录窗口，此时地址栏后面会出现【证书错误】提示 2、点击证书错误——查看证书，提示证书无效，则是因为证书不被信息，需要安装证书 3、弹出证书界面，选择安装证书备注：若无法找到安证书的按钮，在internet选项-安全中将站点加入可信任后尝试4、按向导操作，注意在下列步骤中需要选择证书位置5、配置完成后，此时依然是无法登陆的，点击继续浏览后，弹出的错误提示为：不匹配的地址，如下，还需要继续配置6、Internnet选项——高级下，去除下图中标记项的勾，然后保存7、重新打开地址，此时仍然会弹出提示，选择继续浏览后，会发现上方的地址栏变为一个小锁，如右图，说明已经配置OK，后续在打开该地址就不会弹出错误选项了。8、若还是无法登陆，可以在Internet选项—安全中：设置安全等级为低等级，并在高级选...

随着开源工具越来越多，特别是nodejs构建微服务器之快，实现前端自动化部署越来越简单了，有可能【10行js代码+10行sh脚本+设置github的webhook】就能实现，但是如果你和我一样，就是“懒”（此处为褒义），连这些都不想自己做，那该怎么办呢？这个时候我发现了这款好工具—netlify，下面我就来讲讲它究竟有多好用吧^_^ 一、使用github或者gitlab登陆netlify首先，打开netlify网站(https://app.netlify.com/)       然后使用github或者gitlab账号登录。 二、根据github/gitlab仓库创建网站点击NewsitefromGit按钮：根据你的仓库所在平台选择，以下三选一：选择你需要部署的仓库：设置部署选项，包括三点：部署分支（对应下图中Branchtodeploy）:顾名思义就是你的git仓库的分支，默认选择为master分支打包命令（对应下图中Buildcommand）：就是你的打包命...

SSL是SecureSocketLayer的缩写，中文名为安全套接层协议层。使用该协议后，您提交的所有数据会首先加密后，再提交到网易邮箱，从而可以有效防止黑客盗取您的用户名、密码和通讯内容，保证了您个人内容的安全。具体地说，SSL(SecureSocketLayer)　　为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络　　上之传输过程中不会被截取及窃听。目前一般通用之规格为40bit之安全标准，美国则已推出128bit之更高安全　　标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。　　当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。　　SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSLRecordProtocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSLHandshakeProtocol）：它...

 很早以前看过HTTPS的介绍，并了解过TLS的相关细节，也相信使用HTTPS是相对安全可靠的。直到前段时间在验证https代理通道连接时，搭建了MITM环境，才发现事实并不是我想的那样。由于部分应用开发者忽视证书的校验，或者对非法证书处理不当，让我们的网络会话几乎暴露在攻击者面前。下文会向大家展示的对IOS系统上2款常见的应用（知乎，360浏览器）进行MITM攻击，获取或篡改用户数据。中间人攻击的基本介绍可能看这里（https://zh.wikipedia.org/wiki/中间人攻击）。大致是说一种在网络中劫持会话的攻击方案，如果只监听流量称之为被动网络攻击（passivenetworkattack），如何攻击者主动修改数据流称之为主动网络攻击（activenetworkattack）。好在20几年前Https就出现了，在保证会话安全的同时也能很好的抵御中间人攻击（不过飘逸的应用开发者们总是能不经意的忽视这种保护）网上对中间人攻击的介绍还算多，不过具体到实践的就相对要少很多（这里是指针对https的中间人攻击实践）  上图简单的表述了中间人攻击的主要过...