存档

文章标签 ‘HTTPS’

Nginx https 免费SSL证书配置指南

2011年6月4日 没有评论 146 views

请参考 Nginx Wiki http://wiki.nginx.org/NginxHttpSslModule

生成证书

$ cd /usr/local/nginx/conf
$ openssl genrsa -des3 -out server.key 1024
$ openssl req -new -key server.key -out server.csr
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

编辑 nginx.conf

server {
server_name YOUR_DOMAINNAME_HERE;
listen 443;
ssl on;
ssl_certificate /usr/local/nginx/conf/server.crt;
ssl_certificate_key /usr/local/nginx/conf/server.key;
}

OK, 完成了。但这样证书是不被信任的,自己玩玩还行,要被信任请看下面。
阅读全文...

分类: 技术文章 标签: , ,

黑帽大会:HTTPS和SSL存在安全漏洞

2010年8月3日 没有评论 184 views

HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞.这些漏洞基本上使HTTPS和SSL能够提供的浏览器保 护荡然无存. HTTPS对HTTP协议进行了加密,以保护用户的页面请求和Web服务器返回的页面不被窃听.SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器.

Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击.攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码.

然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的.

Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击.你不得不'执行'中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况.对于电子商务应用来说,这些攻击简直是毁灭性的灾难.”
阅读全文...

分类: 业界资讯 标签: , ,