https笔记及配置

阿里云的免费 SSL 证书

用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS

阿里云免费的证书位置改动

补全完信息后审核失败,可能出现

可参考 如何配置域名授权验证?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
listen 443 ssl;
# or
# listen 443; ssl on;
ssl_certificate /cert/214207741360014/214207741360014.pem;
ssl_certificate_key /cert/214207741360014/214207741360014.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

# NGINX 配置使用 301 80重定向ssl
server {
listen 80;
return 301 https://$host$request_uri;
}

Https原理

Security: 对称加密 + 非对称加密 + CA认证

HTTPS 是如何保证安全的 / 简书
(为什么要非对称加密 | 为什么要CA认证)

[图解 HTTPS:Charles 捕获 HTTPS 的原理] (https://github.com/youngwind/blog/issues/108)
(CA认证原理)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
    Client                                 Server
1.非对称密钥对(k1, k2) ----- 2.k2 -----> k2
5.k1解密得到k <--- 4. 用k2加密k ---- 3.对称密钥(k)
6.以后都可以用k加密和加密

非对称密钥对: k2被第三方获取也没关系. Server发送的k 只有k1能解密, 用k2不能解密

不足:
Client M(伪装成Server)
1.非对称密钥对(k1, k2) ----- 2.k2 -----> k2
5.k1解密得到k <--- 4. 用k2加密k ---- 3.对称密钥(k)
6.以后都可以用k加密和加密

CA认证
确定Server的身份

CA认证-图

1
2
1. 公钥加密信息  私钥解密信息
2. 私钥加密签名 公钥解密信任身份