ios企业证书https协议购买safariWord文档下载推荐.docx
《ios企业证书https协议购买safariWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ios企业证书https协议购买safariWord文档下载推荐.docx(5页珍藏版)》请在冰豆网上搜索。
为了提高安全性,我们常用的做法是使用对称加密的手段加密数据。
可是只使用对称加密的话,双方通信的开始总会以明文的方式传输密钥。
那么从一开始这个密钥就泄露了,谈不上什么安全。
所以tls/ssl在握手的阶段,结合非对称加密的手段,保证只有通信双方才知道对称加密的密钥。
大概的流程如下:
tsl:
ssl_handshake.png
所以,https实现传输安全的关键是:
在tls/ssl握手阶段保证仅有通信双方得到sessionkey!
数字证书的内容
x.509应该是比较流行的ssl数字证书标准,包含(但不限于)以下的字段:
下图为wikipedia的公钥证书:
wikipedia_cer.png
数字证书的生成及验证
数字证书的生成是分层级的,下一级的证书需要其上一级证书的私钥签名。
所以后者是前者的证书颁发者,也就是说上一级证书的subjectname是其下一级证书的issuername。
在得到证书申请者的一些必要信息(对象名称,公钥私钥)之后,证书颁发者通过sha-256哈希得到证书内容的摘要,再用自己的私钥给这份摘要加密,得到数字签名。
综合已有的信息,生成分别包含公钥和私钥的两个证书。
扯到这里,就有几个问题:
问:
如果说发布一个数字证书必须要有上一级证书的私钥加密,那么最顶端的证书——根证书怎么来的?
根证书是自签名的,即用自己的私钥签名,不需要其他证书的私钥
来生成签名。
怎么验证证书是有没被篡改?
当客户端走https访问站点时,服务器会返回整个证书链。
以下图的证书链为例:
chain_hierarchy.png
要验证*.wikipedia.org这个证书有没被篡改,就要用
到globalsignorganizationValidationca-sha256-g2提
供的公钥解密前者的签名得到摘要digest1,我们的客户端也计算
前者证书的内容得到摘要digest2。
对比这两个摘要就能知道前者
是否被篡改。
后者同理,使用globalsignRootca提供的公钥
验证。
当验证到到受信任的根证书时,就能确
定*.wikipedia.org这个证书是可信的。
为什么上面那个根证书globalsignRootca是受信任的?
数字证书认证机构(certificateauthority,ca)签署和管理
的ca根证书,会被纳入到你的浏览器和操作系统的可信证书列
表中,并由这个列表判断根证书是否可信。
所以不要随便导入奇奇
怪怪的根证书到你的操作系统中。
生成的数字证书(如*.wikipedia.org)都可用来签署新的证书吗?
不一定。
如下图,拓展字段里面有个叫basicconstraints的数
据结构,里面有个字段叫路径长度约束(pathlengthconstraint),
表明了该证书能继续签署ca子证书的深度,这里为0,说明这
个globalsignorganizationValidationca-sha256-g2只
能签署客户端证书,而客户端证书不能用于签署新的证书,ca子
证书才能这么做。
篇二:
iis部署ssl证书,苹果移动设备safari访问不信任解决办法
iis部署ssl证书,苹果移动设备safari访问不信任解决办法
当您在iis
服务器上部署ssl证书后,如果出现pc端ie、chrome等浏览器能正常https加密访问,而移动端苹果手机iphone或ipad使用safari浏览器https访问提示证书不可信的情况,则需要在部署ssl证书的服务器上面做以下操作来解决此问题。
首先,进入mmc的计算机用户里面:
进入到mmc
计算机用户中后,在受信任的根证书颁发机构里面找到如图所示的证书,邮件剪切到“不信任的证书”(只有一个就剪切一个)
然后回到个人里面,双击自己的域名证书,查看证书路径是否是四级,如果是就在iis里面重新分配一下证书,重启站点,就ok了!
如果是四级,但上面两级有个小红叉,那就删除域名证书,重新导入下,导入的时候选择根据证书类型自动选择存储路径,然后在iis里面重新分配!
沃通(wosign)—中国最大的自主品牌数字证书颁发机构(ca),ssl证书中国市场占有率第一;
通过webtrust国际认证及工信部许可,符合中国标准和国际标准;
所有ssl证书支持谷歌ct透明度,支持苹果ats安全标准,支持所有浏览器和移动终端。
篇三:
关于启用https的一些经验分享
关于启用https的一些经验分享
随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站https。
就在今天,免费提供证书服务的letsencrypt项目也正式开放,https很快就会成为web必选项。
https通过tls层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。
本文分享一些启用https过程中的经验,重点是如何与一些新出的安全规范配合使用。
至于https的部署及优化,之前写过很多,本文不重复了。
理解mixedcontent
https网页中加载的http资源被称之为mixedcontent(混合内容),不同浏览器对mixedcontent有不一样的处理规则。
早期的ie
早期的ie在发现mixedcontent请求时,会弹出「是否只查看安全传送的网页内容?
」这样一个模态对话框,一旦用户选择「是」,所有mixedcontent资源都不会加载;
选择「否」,所有资源都加载。
比较新的ie
比较新的ie将模态对话框改为页面底部的提示条,没有之前那么干扰用户。
而且默认会加载图片类mixedcontent,其它如javascript、css等资源还是会根据用户选择来决定是否加载。
现代浏览器
现代浏览器(chrome、Firefox、safari、microsoftedge),基本上都遵守了w3c的mixedcontent规范,将mixedcontent分
为optionally-blockable和blockable两类:
optionally-blockable类mixedcontent包含那些危险较小,即使被中间人篡改也无大碍的资源。
现代浏览器默认会加载这类资源,同时会在控制台打印警告信息。
这类资源包括:
通过标签加载的图片(包括sVg图片);
通过/和标签加载的视频或音频;
预读的(prefetched)资源;
除此之外所有的mixedcontent都是blockable,浏览器必须禁止加载这类资源。
所以现代浏览器中,对于https页面中的javascript、css等http资源,一律不加载,直接在控制台打印错误信息。
移动浏览器
前面所说都是桌面浏览器的行为,移动端情况比较复杂,当前大部分移动浏览器默认允许加载所有mixedcontent。
也就是说,对于移动浏览器来说,https中的http资源,无论是图片还是javascript、css,默认都会加载。
补充:
上面这段结论源自于我大半年前的测试,本文评论中的ayanamist同学反馈现状已经有所变化。
我又做了一些测试,果然随着操作系统的升级,移动浏览器都开始遵循mixedcontent规范了。
最新测试表明,对于blockable类mixedcontent:
ios9以下的safari,以及android5以下的webview,默认会加载;
android各版本的chrome,ios9+的safari,android5+的webview,默认不会加载;
一般选择了全站https,就要避免出现mixedcontent,页面所有资源请求都走https协议才能保证所有平台所有浏览器下都没有问题。
合理使用csp
csp,全称是contentsecuritypolicy,它有非常多的指令,用来实现各种各样与页面内容安全相关的功能。
这里只介绍两个与https相关的指令,更多内容可以看我之前写的《》。
block-all-mixed-content
前面说过,对于https中的图片等optionally-blockable类http资源,现代浏览器默认会加载。
图片类资源被劫持,通常不会有太大的问题,但也有一些风险,例如很多网页按钮是用图片实现的,中间人把这些图片改掉,也会干扰用户使用。
通过csp的block-all-mixed-content指令,可以让页面进入对混合内容的严格检测(strictmixedcontentchecking)模式。
在这种模式下,所有非https资源都不允许加载。
跟其它所有csp规则一样,可以通过以下两种方式启用这个指令:
http响应头方式:
content-security-policy:
block-all-mixed-content
标签方式:
upgrade-insecure-requests
历史悠久的大站在往https迁移的过程中,工作量往往非常巨大,尤其是将所有资源都替换为https这一步,很容易产生疏漏。
即使所有代码都确认没有问题,很可能某些从数据库读取的字段中还存在http链接。
而通过upgrade-insecure-requests这个csp指令,可以让浏览器帮忙做这个转换。
启用这个策略后,有两个变化:
页面所有http资源,会被替换为https地址再发起请求;
页面所有站内链接,点击后会被替换为https地址再跳转;
跟其它所有csp规则一样,这个指令也有两种方式来启用,具体格式请参考上一节。
需要注意的是upgrade-insecure-requests只替换协议部分,所以只适用于http/https域名和路径完全一致的场景。
合理使用hsts
在网站全站https后,如果用户手动敲入网站的http地址,或者从其它地方点击了网站的http链接,依赖于服务端301/302跳转才能使用https服务。
而第一次的http请求就有可能被劫持,导致请求无法到达服务器,从而构成https降级劫持。
hsts基本使用
这个问题可以通过hsts(httpstricttransportsecurity,RFc6797)来解决。
hsts是一个响应头,格式如下:
strict-transport-security:
max-age=expiretime[;
includesubdomains][;
preload]
max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过https协议来访问。
也就是对于这个网站的http地址,浏览器需要先在本地替换为https之后再发送请求。
includesubdomains,可选参数,如果指定这个参数,表明这
升级会员 