词汇表

TLS 1.3概览

本文详细介绍了TLS 1.3的产生背景、命名原因、以及其重大改变等信息。 TLS 1.3产生背景 安全传输层协议(Transport Layer Security,简称 TLS )自标准化从1999年发布Secure Sockets Layer(SSL)的升级版TLS 1.0版,2006年升级TLS 1.1版,2008年升级为目前广泛使用的TLS 1.2版,到2011年发布的TLS 1.2修订版,至今已有近20年的时间。 TLS是保障网络传输安全及数据完整性的一种安全协议,在传输层上对网络连接进行加密。

  • Jessica Zhang
5 min read
词汇表

HSTS概览

本文详细介绍了HSTS的概念、作用、工作原理、以及如何设置HSTS。同时,结合HTTPS和HSTS安全机制,提高数据通信的安全。 HTTP与HSTS 用户在访问某个HTTPS网站时,往往在浏览器中直接输入网站域名,如:www.example.com,而不是输入完整的URL,如:https://www.example.com,但浏览器依然能正确的使用HTTPS发起请求。这种客户体验多亏了服务器和浏览器之间的互相协作。 那这一切是否就是安全的呢? 其实不然。由于在建立起HTTPS连接之前存在一次明文的HTTP请求和重定向,使攻击者可以以中间人的方式劫持这次请求,从而进行后续的攻击(如:窃听数据、篡改请求和响应、跳转到钓鱼网站等)。 那么如何避免HTTPS建立连接之前的那次明文的HTTP请求和重定向,从而防止被中间人攻击,

  • Jessica Zhang
8 min read
glossary

SNI概览

本文详细阐述了Server Name Indication(SNI)的概念、产生背景、兼容性、以及检验是否支持SNI的方法。 什么是SNI SNI是为了解决一个服务器使用多个域名和证书的Secure Socket Layer(SSL)/Transport Layer Security(TLS)的一个扩展。它允许服务器在同一IP地址和TCP端口数下支持多张证书,从而允许多个HTTPS网站,或其他服务在TLS的网站,被同一个IP地址而不需要所有的网站使用相同的证书。 SNI产生背景 SSL初期设计是一台服务器只能为一个域名服务。当客户端访问站点时,利用DNS域名解析,向解析到的IP地址(服务器地址)发送请求服务器的证书,然后服务器将自身唯一的证书返回回来,交给客户端验证。通过验证后,按照协商好的加密通道,

  • Jessica Zhang
4 min read
glossary

Certificate Transparency

本文详细阐述了Certificate Transparency(CT)的概念、作用、工作原理、以及CT的应用对比等信息。 什么是CT 证书透明度(Certificate Transparency,简称CT)是Google提倡的为了提高SSL/TLS上信赖度的新技术。现在已被RFC化(RFC 6962),用于防止证书误发行的技术而备受注目。 CT的作用 CT的作用是每当 Certificate Authority (CA)机构签发证书时,将所有证书的签发行为都记录到审计日志中。通过这个审计日志服务器,网站运营者、域名管理者等人员确认自己的域名对应的证书有无被其他CA机构签发,以此来防止非正常签发的可信证书被他人滥用。 虽然CT看起来仅仅起着提高证书可信赖度的作用,但并不意味着其他没有CT的证书是不可信的。 CT的工作原理 CA机构一旦向审计日志服务器提供证书,

  • Jessica Zhang
4 min read
glossary

CAA概览

本文详细阐述了CAA的概念、CAA检测的作用、CAA记录的添加、以及CAA检测工具。 什么是CAA CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它是一种通过DNS记录类型,用来保护域名免受钓鱼的安全措施,网站管理员可以通过该措施来保护域名免于错误发布。 产生背景 2017年3月7日,[CA/Browser Forum](CA/Browser Forum)(全球证书颁发机构与浏览器的技术论坛),一个监管SSL证书颁发操作的组织机构,也是一个制定证书颁发机构 (Certificate Authority, 简称CA)国际标准的技术联盟,发起了关于对域名强制检测Certificate Authority Authorization (CAA)提议的投票。

  • Jessica Zhang
5 min read
glossary

ECC和RSA概览

数字签名技术已经广泛使用于网络安全协议或分布式系统中。目前,比较流行的数字签名算法有RSA和ECC。本文详细介绍RSA和ECC算法的定义,帮助你了解这两者间的区别。 产生背景 据记载,公元前 400 年,古希腊人发明了置换密码。1881 年世界上的第一个电话保密专利出现。在第二次世界大战期间,德国军方启用「恩尼格玛」密码机,密码学在战争中起着非常重要的作用。 随着信息化和数字化社会的发展,人们对信息安全和保密的重要性认识不断提高,于是在 1997 年,美国国家标准局公布实施了「美国数据加密标准(DES)」,民间力量开始全面介入密码学的研究和应用中,采用的加密算法有 DES、RSA、SHA 等。随着对加密强度需求的不断提高,

  • Jessica Zhang
3 min read
glossary

HPKP概览

2017年10月,Google安全团队在论坛上公开宣布:由于公钥固定(HTTP Public Key Pinning,简称HPKP)普及率低和存在技术挑战,计划于2018年5月发布的Chrome 67解除对HTTP HPKP的支持,公告一出马上引起行业内的热议。 HPKP具体是什么呢?本文详细介绍了HPKP的定义、存在的问题、以及取代它的CT项目等信息。 什么是HPKP HPKP是HTTPS网站防止攻击者利用证书授权中心(Certificate Authority,简称CA)机构错误签发的证书进行中间人攻击的一种安全机制,它旨在预防攻击者入侵CA偷发证书、浏览器信任的CA签发伪造证书等情况。 HPKP公钥固定安全机制所携带的是中级证书或者根证书的哈希值,并与终端浏览器约定此哈希值会在一定时间(通常是1年)失效。 HPKP问题所在 安全隐患 参与撰写和制定该标准(RFC

  • Jessica Zhang
3 min read
glossary

CRL概览

数字证书相当于网上的身份证,由证书认证(CA)机构认证并颁发,且具有一个指定的寿命。当发生证书遗失等情况时,CA机构会吊销证书来终止证书寿命。这些被吊销的证书的序列号被CA机构公布于一个证书吊销列表 (Certificate Revocation List,简称CRL)中。通过阅读本文,你将了解CRL的概念、作用、工作原理等信息。 什么是CRL 我们知道,数字证书一旦颁发是不可能收回的。但在证书有效期期间,发生特殊情况,如:泄露密钥、从属关系改变,这时用户只能向当初颁发这张证书的Certificate Authority (CA)或Register Authority(RA)机构提出注销证书的申请,CA或RA机构经过审核后将实施证书注销。

  • Jessica Zhang
4 min read
词汇表

OCSP概览

在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是维护服务器和其它网络资源安全性的两种普遍模式之一。它是一个无需证书撤消列表(CRL)就可决定数字证书当前状态的协议。本文详细介绍了它的概念、作用、工作原理等信息。 什么是OCSP CA机构发布的“黑名单”,证书注销列表(CRL),存在一些缺点,如:必须经常在客户端下载以确保列表的更新。于是,存在另一种证书有效性的管理和查询方法,即在线查询机制。它使用的协议称为在线证书状态协议,英文是Online Certificate Status Protocol(OCSP)。 OCSP是IETF颁布的用于检查数字证书在某一交易时间是否有效的标准。该协议规定了服务器和客户端应用程序的通讯语法。OCSP给用户到期的证书一个宽限期,

  • Jessica Zhang
5 min read
glossary

PFS概览

总所周知,若服务器的私钥泄漏,任何可以访问私钥的人都可以在会话建立时解密消息查看会话密钥,用会话密钥解密所有数据。所以确保你的私钥绝对私密至关重要。但有时私钥确实会泄漏,或因为系统被黑,或因为有访问权限的内部人士,或因为政府的命令。 如果你知道密钥已经暴露了,可以生成新的公私密钥对和新的证书,把旧证书撤销掉,这样客户端就不会再接受它,即使拿到旧私钥的人也不能用旧证书冒充你。但这样只是照顾到了将来的数据交换。当窃取了私钥的人监测并记录下了以前的会话,他们仍能用旧密钥解密并查看以前会话中数据。 有种安全连接的保护方法甚至连这种回溯性破解也可以防护。它被称为完全正向保密(perfect forward secrecy,简称PFS)。本文详细介绍PFS的概念、发展历史、工作原理、适用协议等信息,帮助你深入了解PFS。 什么是PFS 完全正向保密(perfect forward secrecy,

  • Jessica Zhang
5 min read
glossary

Cryptographic Service Provider

加密服务提供程序(CSP) Cryptographic Service Provider(CSP),中文为加密服务提供程序,是 Windows 操作系统中提供一般加密功能的硬件和软件组件。可以编写这些 CSP 以提供各种加密和签名算法。配置为由某个证书模板使用的每个 CSP 都可以潜在支持不同的加密算法,因此,可以支持不同的密钥长度。这意味着,必须将证书模板配置为支持一个或多个 CSP。选择特定的 CSP,可让管理员控制此证书使用的算法和密钥长度。Windows Server 2003 家族包含许多 CSP,但还可添加其他 CSP。 微软制订的CSP接口是为Windows系列操作系统制订的底层加密接口,实现数据的加密、

  • Jessica Zhang
1 min read
glossary

Content Security Policy

内容安全策略(CSP) Content Security Policy(CSP)指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。 目的 缓解潜在的跨站脚本问题。 优点 使扩展程序在默认情况下更加安全。 CSP 以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过HTTP头信息或者meta元素定义。 CSP虽然提供了强大的安全保护,但是也造成了如下问题:Eval及相关函数被禁用、内嵌的JavaScript代码将不会执行、只能通过白名单来加载远程脚本。这些问题阻碍CSP的普及,如果要使用CSP技术保护自己的网站,开发者就不得不花费大量时间分离内嵌的JavaScript代码和做一些调整,参考文献汇总的Content Security

  • Jessica Zhang
1 min read
glossary

HTTP2.0概览

什么是HTTP/2.0 HTTP/2.0(超文本传输协议第2版,最初命名为HTTP 2.0),是HTTP协议的的第二个主要版本,使用于万维网。HTTP/2.0是HTTP协议自1999年HTTP 1.1发布后的首个更新,主要基于SPDY协议。它由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis(httpbis)工作小组进行开发。该组织于2014年12月将HTTP/2标准提议递交至IESG进行讨论,于2015年2月17日被批准。HTTP/2标准于2015年5月以RFC 7540正式发表。 发展趋势

  • Jessica Zhang
7 min read
glossary

PCI DSS合规概览

PCI DSS合规是什么呢?它包含哪些内容?本文为你详细介绍PCI DSS定义、作用等信息。 产生背景 MasterCard、VISA、American Express、Discovery和JCB是目前PCI产业中的五个全球支付品牌。每个品牌都有自己的安全要求,每个品牌所维护的安全策略体系也依然在用。经五个卡品牌协商,为了更好的促进支付卡产业数据安全的发展,把数据保护的相关要求统一维护,成立PCI安全标准委员会。 PCI安全标准委员会作为一家全球性组织,主要负责全球范围内对于数据保护标准的制定和更新、体系的管理、人员和机构的培训、审核机构的授权还有安全意识的教育等等。 什么是PCI DSS Payment Card Industry Data Security Standard(PCI DSS)

  • Jessica Zhang
4 min read
glossary

SGC概览

本文详细介绍了SGC是什么、它和SSL关系、及它的工作原理。 什么是SGC Server Gated Cryptography(SGC)中文为服务器网关加密。 SGC技术是在现有的SSL证书标准基础上,增加的一种增强密钥用法(EKU)。 SGC与SSL 2000年以前,因美国政府对高强度加密算法(128位)的出口限制,推出了SGC技术。 在出口管制限制下,2001年以前推出的浏览器版本(如:Internet Explorer 5)和服务器版本(如:Microsot Windows Server 2000)都只支持56位或40位加密算法。但电脑硬件技术和CPU处理速度的快速提高,以致于破解40位加密算法只需几秒钟,

  • Jessica Zhang
2 min read
glossary

FQDN概览

本文详细介绍了FQDN概念、工作流程、以及其作用等信息。 什么是FQDN Fully Qualified Domain Name(FQDN)中文为全限定域名,是同时带有主机名(HostName)和域名(DomainName)的名称,表示的方式通过符号“.”隔开,即FQDN=HostName.DomainName。 例如:你公司的域名是mydomain.com ,有一台主机名是bigserver的服务器。那么FQDN就是bigserver.mycompany.com。 FQDN解析流程 通过本机HOSTS表查找主机名,如果主机名在HOSTS表中,则直接使用表中定义;如果没有,则查找网络连接中设置的DNS服务器解析。

  • Jessica Zhang
1 min read
glossary

CSR概览

证书签名请求文件(CSR)是你申请数字证书时,需要提交至CA机构审核认证的文件。本文详细阐述了CSR文件的概念、作用、工作原理等信息,帮助你形象地了解此文件样式,以及它的必要性。 什么是CSR CSR是Certificate Signing Request的英文缩写,即证书签名请求文件。 当申请者申请数字证书时,CSP(加密服务提供者)生成私钥,同时也生成了CSR文件。申请者将CSR文件提交至Certificate Authority (CA)机构后,CA机构使用其根证书私钥签名,从而就生成了证书公钥文件,即颁发给用户的数字证书。 作用 申请者通过CSR文件,向CA机构申请数字证书。获取证书后,就能证明申请者的网站是可信的,数据传输是加密的。 工作原理

  • Jessica Zhang
3 min read
glossary

GDPR概览

摘要 General Data Protection Regulation(GDPR)延伸欧洲资料保护法的领域至所有处理欧盟住民的境外公司。GDPR使通行欧盟的资料保护规章一致,因此使欧洲以外的公司能够更容易地遵守这些规章;然而,其代价是严格的资料保护规定,且有着公司全球收益4%或两千万欧元(择高者)的高额罚款。 GDPR通用数据保护条例 《通用数据保护条例》(General Data Protection Regulation)欧盟法规编号:(EU) 2016/679,是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回公民以及住民对于个人资料的控制,以及为了国际商务而简化在欧盟内的统一规范。 GDPR取代了欧盟在1995年推出的欧盟个人资料《数据保护指令》(Data

  • Jessica Zhang
3 min read