最近向大神请教了CA认证单向认证和双向认证的问题，有一点不太明白，单向认证的时候，为什么服务端发送到客户端的东西也是加密的？ ...

原文转载至：http://blog.csdn.net/aqiangsz/article/details/53611665文章中有些不对的地方，比如用证书对改随机码进行加密，这个是不对，证书本身并没有加密的的功能，加密的算法应该还是TSL/SSL决定的。  我们都知道HTTPS能够加密信息，以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。　　HTTPS简介　　HTTPS其实是有两部分组成：HTTP+SSL/TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密，解密，验证的，且看下图。　　1.客户端发起HTTPS请求　　这个没什么好说的，就是用户在浏览器里输入一个https网址，然后连接到server的443端口。　　2.服务端的配置　　采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(...

很多关于CA证书的讲解。1.什么是CA证书。 看过一些博客，写的比较形象具体。　◇普通的介绍信　　想必大伙儿都听说过介绍信的例子吧？假设A公司的张三先生要到B公司去拜访，但是B公司的所有人都不认识他，他咋办捏？常用的办法是带公司开的一张介绍信，在信中说：兹有张三先生前往贵公司办理业务，请给予接洽......云云。然后在信上敲上A公司的公章。　　张三先生到了B公司后，把介绍信递给B公司的前台李四小姐。李小姐一看介绍信上有A公司的公章，而且A公司是经常和B公司有业务往来的，这位李小姐就相信张先生不是歹人了。这里，A公司就是CA证书◇引入中介机构的介绍信　　好，回到刚才的话题。如果和B公司有业务往来的公司很多，每个公司的公章都不同，那前台就要懂得分辨各种公章，非常滴麻烦。所以，有某个中介公司C，发现了这个商机。C公司专门开设了一项“代理公章”的业务。　　今后，A公司的业务员去B公司，需要带2个介绍信：　　介绍信1　　含有C公司的公章及A公司的公章。并且特地注明：C公司信任A公司。　　介绍信2　　仅含有A公司的公章，然后写上：兹有张三先生前往贵公司办理业务，请给予接洽......云云...

HTTPS加密是互联网安全建设的基础，百度、淘宝、天猫等越来越多互联网巨头启用全站HTTPS，也带动了更多网站加入HTTPS加密的行列。普通用户也逐渐明白HTTPS比HTTP更安全，访问网银、购物等重要网站时要先观察是否有HTTPS加密保护。但是在日常访问过程中，用户可能会发现有些网站HTTPS是绿色、有些却是红色，有些显示安全锁、有些却显示叹号。由于浏览器品牌不同、版本不同，对于HTTPS安全状态的标识符号也有些不同，让不少用户有点摸不着头脑。本文汇总介绍最新版本浏览器HTTPS不同状态的显示方式。谷歌浏览器1、浏览器连接安全(ConectionSecurity)分四种状态HTTPS相关的安全标识多种多样，但其基本状态分为以下四种，谷歌的安全标识也是基于这四种状态进行细分的。·有效HTTPS(EVHTTPS和普通HTTPS)·HTTPS有小错误(安全，有小错误)·HTTPS有大错误(无效HTTPS，确定不安全)·HTTP2、2016年7月最新版Chrome安全标识基于用户研究和对浏览器面临的设计挑战的了解，谷歌提出了一组新的浏览器安全标识，用于表现有效HTTPS、HTTP不安全(“H...

 目录综述：方法1：openssl准备步骤具体实施方法2：阿里云或者宝塔免费申请（推荐）步骤1.准备步骤阿里云宝塔python+flask子域名访问设置1.给子域名添加DNS解析2.子域名ssl证书申请.代码修改由于业务服务器需要对https协议进行支持，加上代码是python+flask所编写，因此需要去申请ssl的证书。有两种方式：自己使用openssl命令配置、使用第三方免费的ssl证书。由于自己配置的证书有一定的不稳定性，可能造成不能被浏览器校验通过之类的情况。我个人比较倾向使用阿里云、宝塔的免费ssl认证。接下来，记录两种方式如何操作。并在最后，介绍怎么使用子域名访问网站pipinstallpyOpenSSL#生成私钥，按照提示填写内容opensslgenrsa-des3-outserver.key1024#生成csr文件，按照提示填写内容opensslreq-new-keyserver.key-outserver.csr#RemovePassphrasefromkeycpserver.keyserver.key.orgopensslrsa-inserver.key...

说明：本文所提的服务只是作者平常测试使用，可能含有未知bug或不成熟的解决方案，仅供参考，请不要用于正式环境，当然，使用过程中有任何问题欢迎提给我，我可以不断改进GitHub地址： https://github.com/wll-zhou/nginx_proxy_docker   nginx不仅仅是一个高性能的web服务器软件，还可以用来做正向代理和反向代理，但是nginx不支持https的正向代理，作者搜索已有的解决方案，并把最终服务集成到Docker，后续直接通过dockerrun就能使用了 首先说下nginx实现https正向代理，这个用的是别人开发好的ngx_http_proxy_connect_module模块，详细资料可以参考这篇文章，本文的重点是记录怎么集成到Docker里面 首先准备好工作目录mkdir -p nginx/workdir && cd nginx/workdir 下载指定的nginx版本，对应的ngx_http_proxy_...

用云旺的做IM，ios端图片地址只能是https的才能显示，所以为服务器增加证书Let’sEncrypt是一个免费并且开源的CA，且已经获得Mozilla、微软等主要浏览器厂商的根授信1.下载let'sencryptapt-getinstallpython-software-propertiesapt-getinstallsoftware-properties-commonsudoadd-apt-repositoryppa:certbot/certbotapt-getupdateapt-getinstallcertbot2.生成密钥certbotcertonly--standalone-dXXX.com出现下面代表成功root@iZ2zedq9lexkebewgjhhwzZ:/etc/letsencrypt#certbotcertonly--standalone-d51best.siteSavingdebuglogto/var/log/letsencrypt/letsencrypt.logObtaininganewcertificatePerformingthefollowingcha...

百度地图SDK, 支持https<scriptsrc="http://api.map.baidu.com/api?v=3.0&ak=nbnttGGI6lilllgy2znNZGif3H7HxI2W"></script>改为：<scriptsrc="https://api.map.baidu.com/api?v=3.0&ak=nbnttGGI6lilllgy2znNZGif3H7HxI2W&s=1"></script> ...

/HTTPS（全称：HypertextTransferProtocolSecure，超文本传输安全协议），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。本文，就来深入介绍下其原理。1、为什么需要https使用https的原因其实很简单，就是因为http的不安全。  当我们往服务器发送比较隐私的数据（比如说你的银行卡，身份证）时，如果使用http进行通信。那么安全性将得不到保障。首先数据在传输的过程中，数据可能被中间人抓包拿到，那么数据就会被中间人窃取。其次数据被中间人拿到后，中间人可能对数据进行修改或者替换，然后发往服务器。最后服务器收到数据后，也无法确定数据有没有被修改或替换，当然，如果服务器也无法判断数据就真的是来源于客户端。总结下来，http存在三个弊端：无法保证消息的保密性无法保证消息的完整性和准确性无法保证消息来源的可靠性https就是为了解决上述问题应运而生的。2、基本概念为了解决http中存在的问题，https采用了一些加解密，数字证书，数字签名的技术来实现。下面先介绍一下这些技术的基本概念对称加密与非对称加密为了保证消息的保密性，就需要用到...

前几天一朋友说访问网站页面底部怎么出现小广告了呢，内容有点不雅，朋友截图发给我，调侃我说怎么放这种广告，我一听纳闷，网站运行伊始，从来没有投放过任何广告，更别说不雅广告了。最近还遇到一个问题就是，网站莫名其妙被服务商拦截，服务商有一个比较低能的违法信息监测系统，为啥低能呢？就是系统内置一批关键字，只要网页中包含任意关键字，就认为你的网页信息违法，逾期不处理，关闭网站，就问你服不服。更有甚者，我把这些包含关键字的内容设为仅管理员可见，然而只要每次我一访问，服务商那边就监测得到，并报警。一开始还纳闷，普通用户无法访问的内容，他怎么监测得到，后来想道这是服务商的监测系统，任何从服务器流出的内容他都监测得到。这两个问题的原因都是网站是HTTP协议供用户访问的，而HTTP协议是一个明文传输协议，服务商可以完全窥视用户访问的内容，也能完全掌握服务器流出的内容。第一个问题是一些小的网络提供商，为了自身利益，在用户访问我的网站时候，解析HTML，并嵌入自己的广告代码到HTML中，展现给用户就是一个带小广告的页面了，就是这么简单。反过来对用户来说，用户浏览的所有内容，他都可以明文监测得到的。第二个问题就...

　　本文摘录参考：细说CA和证书（主要讲解CA的使用）数字签名是什么？（简单理解原理）深入浅出HTTPS工作原理（深入理解原理）　　HTTP协议由于是明文传送，所以存在三大风险：1、被窃听的风险：第三方可以截获并查看你的内容2、被篡改的危险：第三方可以截获并修改你的内容3、被冒充的风险：第三方可以伪装成通信方与你通信　　HTTP因为存在以上三大安全风险，所以才有了HTTPS的出现。　　HTTPS涉及到了很多概念，比如SSL/TSL，数字证书、数字签名、加密、认证、公钥和私钥等，比较容易混淆。我们先从一次简单的安全通信故事讲起吧，其中穿插复习一些密码学的概念。　　这个故事的原文是：　　http://www.youdzone.com/signature.html　　阮一峰老师也翻译过：　　http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html　　这里重新叙述一下这个故事：　　故事的主人公是Bob，他有三个好朋友Pat、Doug和Susan。Bob经常跟他们写信，因为他的信是明文传输的，在传递过程可能被人...

今天做了一个从Https链接中下载音频并且上传到OSS服务器，记录一下希望大家也少走弯路。一共两个类：/***@authormazhq*@Title:X509TrustUtiil*@ProjectName:zeus*@Description:证书信任管理器类*@date2019/2/1815:14*/publicclassX509TrustUtilimplementsX509TrustManager{@OverridepublicvoidcheckClientTrusted(X509Certificate[]x509Certificates,Strings)throwsCertificateException{}@OverridepublicvoidcheckServerTrusted(X509Certificate[]x509Certificates,Strings)throwsCertificateException{}@OverridepublicX509Certificate[]getAcceptedIssuers(){returnnewX509Certificate[0];}...

目前只会使用jdk的keytool来生成证书。本文仅介绍这种方法。1Windows下：1.1生成keystore文件及导出证书打开控制台：运行：%JAVA_HOME%inkeytool-genkey-aliastomcat-keyalgRSA按照要求一步步的输入信息，问你国家/地区代码的时候，输入cn。输入密码的时候，这里使用：changeit最后一步让你输入的时候，直接回车。具体记录如下：C:UsersAdministrator>%JAVA_HOME%inkeytool-genkey-aliastomcat-keyalgRSA输入密钥库口令:再次输入新口令:您的名字与姓氏是什么?[Unknown]:tuhao您的组织单位名称是什么?[Unknown]:tuhaojia您的组织名称是什么?[Unknown]:fnic您所在的城市或区域名称是什么?[Unknown]:didu您所在的省/市/自治区名称是什么?[Unknown]:didu该单位的双字母国家/地区代码是什么?[Unknown]:cnCN=tuhao,OU=tuhaojia,O=fnic,L=didu,ST=didu...

SSL是基础,在SSL上运行WebSocket协议就是WSS;在SSL上运行HTTP协议就是HTTPS.来源： https://segmentfault.com/q/1010000007391137/a-1020000007391991null...

tomcat真是业界良心啊，文档写的详细无比。一、https是什么？简单的说，就是http+SSL/TLS协议还是http，但是在传输层过程中使用了加密（涉及握手、秘钥分发、加密、解密等过程）。 二、关于SSL支持英文好的可以直接参考tomcat默认的在线文档。首先请运行本地的tomcat。http://localhost:8080/docs/config/http.html#SSL_Support 三、tomcat支持两种SSLConnector类型1.BIO/NIOconnectors支持由JDK中的工具提供X509证书认证（JAVA语言）2.APR/Nativeconnectors支持由OPENSSL提供的证书认证（C语言）3.两者的一个比较 四、关于SSL的配置只需要选择一种配置即可。1. jdk证书的配置<Connectorport="8443"protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="150"SSLEnabled="true"scheme="...