(我的原wordpress域名为liust.me,不过最近在转移该博客上的内容到优快云上,包括本文在内的内容是从该博客上转移而来)
liust.me一直致力于给用户安全、尊重隐私的网络冲浪体验。现本站已经和
由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起 Let’s Encript 项目达成合作,用户从即刻起可以使用更安全的https协议访问本站。
访问 https://certbot.eff.org/ ,使用Let’s Encript的官方客户端certbot轻松获取免费的SSL证书。
(有个坑,我的nginx默认配置文件在usr/local/nginx/conf/nginx.conf,直接运行sudo certbot –nginx的时候会报错,把配置文件迁移到默认的路径/etc/nginx/后解决,这样应该也可以避免之后自动更新出现问题。
补充HTTPS连接过程及中间人攻击原理(http://netsecurity.51cto.com/art/201712/559836.htm)
1.https请求
客户端向服务端发送https请求;
2.生成公钥和私钥
服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;
3.返回公钥
服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;
4.客户端验证公钥
客户端收到公钥之后,首先会验证其是否有效,如颁发机构或者过期时间等,如果发现有问题就会抛出异常,提示证书存在问题。如果没有问题,那么就生成一个随机值,作为客户端的密钥,然后用服务端的公钥加密;
5.发送客户端密钥
客户端用服务端的公钥加密密钥,然后发送给服务端。
6.服务端收取密钥,对称加密内容
服务端收到经过加密的密钥,然后用私钥将其解密,得到客户端的密钥,然后服务端把要传输的内容和客户端的密钥进行对称加密,这样除非知道密钥,否则无法知道传输的内容。
7.加密传输
服务端将经过加密的内容传输给客户端。
8.获取加密内容,解密
客户端获取加密内容后,用之前生成的密钥对其进行解密,获取到内容。
中间人劫持攻击
https也不是绝对安全的,如下图所示为中间人劫持攻击,中间人可以获取到客户端与服务器之间所有的通信内容。
中间人截取客户端发送给服务器的请求,然后伪装成客户端与服务器进行通信;将服务器返回给客户端的内容发送给客户端,伪装成服务器与客户端进行通信。
通过这样的手段,便可以获取客户端和服务器之间通信的所有内容。
使用中间人攻击手段,必须要让客户端信任中间人的证书,如果客户端不信任,则这种攻击手段也无法发挥作用。
二、中间人攻击的预防
略
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
