1.HTTPS介绍 由于HTTP是明文传输,会造成安全隐患,所以在一些特定场景中,必须使用HTTPS协议,简单来说HTTPS=HTTP+SSL/TLS.服务端和客户端的信息传输都是通过TLS进行加密.这样就能在一定程度上避免敏感信息被截取. 在通信过程中,请求方称为客户端,响应方称为服务端.HTTPS请求流程如图: 1.客户端向服务端发送加密版本.加密算法种类.随机数信息等. 2.服务端返回客户端发送的信息并带上服务端证书(公钥证书). 3.客户端效验服务端证书的合法性. 4.验证不通过终止通信…

近几年,Google.Baidu.Facebook 等互联网巨头大力推行 HTTPS,国内外的大型互联网公司很多也都已启用全站 HTTPS. Google 也推出了针对移动端优化的新型加密套件 ChaCha20-Poly1305. 又拍云 CDN 已经全面支持 Google 推出的针对移动端优化的加密套件-- ChaCha20-Poly1305.又拍云平台上所有的 CDN 用户都可以享受到该算法加解密性能提升,网页加载时间减少,电池寿命延长等优势. 在这之前又拍云一直在对 HTTPS 性能进行持…

利用背景流量数据(contexual flow data)识别TLS加密恶意流量 识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“data omnia”),不需要对加密的恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述,主要参照思科在AISec’16发表的文章<Identifying Encrypted Malware Traf…

识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“dataomnia”),不需要对加密的恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述,主要参照思科在AISec’16发表的文章<IdentifyingEncrypted Malware Traffic with Contextual Flow Data>[1][2][3]. 一…

转自: https://linux.cn/article-6565-1.html SSL/TLS 加密新纪元 - Let's Encrypt 根据 Let's Encrypt 官方博客消息,Let's Encrypt 服务将在下周(11 月 16 日)正式对外开放. Let's Encrypt 项目是由互联网安全研究小组(ISRG,Internet Security Research Group)主导并开发的一个新型数字证书认证机构(CA,Certificate Authority).该项目旨在…

<Docker远程连接设置>一文讲述了开启Docker远程连接的方法,但那种方法不安全,因为任何客户端都可以通过Docker服务的IP地址连接上去,今天我们就来学习Docker官方推荐的安全的远程连接方式:TLS加密连接,通过证书来保证安全性. 官方文档 这里是官方的权威文档:https://docs.docker.com/engine/security/https/ 环境信息 本次实战的环境信息如下: Docker服务所在机器(下面以A机器表示):CentOS Linux release 7…

本文将详细介绍如何在Java端.C++端和NodeJs端实现基于SSL/TLS的加密通信,重点分析Java端利用SocketChannel和SSLEngine从握手到数据发送/接收的完整过程.本文也涵盖了在Ubuntu系统上利用OpenSSL和Libevent如何创建一个支持SSL的服务端.文章中介绍的知识点并未全部在SMSS项目中实现,因此笔者会列出所有相关源码以方便读者查阅.提醒:由于知识点较多,分享涵盖了多种语言.预计的学习时间可能会大于3小时,为了保证读者能有良好的学习体验,继续前请先安…

继上一篇介绍如何在多种语言之间使用SSL加密通信,今天我们关注Java端的证书创建以及支持SSL的NioSocket服务端开发.完整源码 一.创建keystore文件 网上大多数是通过jdk命令创建秘钥文件,但是有时候我们需要将配套的秘钥以及证书让多个模块来使用,他们很可能是由不同语言开发.在这样的情形下,我们通常会选择openssl. 生成服务端的秘钥文件 openssl genrsa -out server.key 2048 这个秘钥文件是经过Base64编码后生成的,你可以使用文本工具打开…

MQTT TLS 加密传输 Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证方法. 单向认证:就是只有服务器提供证书,客户端不需要证书,双向认证:服务端和客户端都提供证书. 1.生成CA 首先我们需要生成证书权威(Certificate Authority,CA)的认证和密钥,生成过程中Common Name就是hostname,网上很多生成CA证书直接指令OpenSSl方…

一直以来都是使用java默认的[加密套件]来处理ssl请求,突然有一天我尝试显式的设置了一组加密套件后,发现图片显示的速度明显快了一倍左右. 经过使用几组不同的加密套件测试后,发现使用 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 比  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 快了将近1倍. 可能是每组加密套件的算法不同造成这么大的差别吧. 我目前使用 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA  为优先使用加…