前提:已经拥有域名证书,且服务器支持添加SSL证书(如VPS或云主机,以及部分虚拟主机)
虽然DiscuzX3.2已经针对https做了优化,但仍有很多地方需要改动,经过在几个生产环境的改造中发现,Discuz目前可以完美支持https并显示绿色https图标,不过有些麻烦,且每个环境都会出现自己的问题。
第一步:
全局 > 站点信息 > 网站 URL,修改为https://bolg.yibadao.net/的格式
第二步:修成Discuz适配https
如果你的Web服务是Apache,请忽略这一步,Nginx请继续看:
Discuz判断网站是否启动SSL是采用 $_SERVER[‘HTTPS’] 的方式,此方法不支持Nginx(nginx+php-fpm),需要先做一些修改,让Discuz使用 $_SERVER[‘SERVER_PORT’]来判断网站是否启用SSL。 Continue reading »
HTTP/2规格已经制定完成,即将成为正式标准。在规格中,HTTP/2协议没有强制要求使用TLS,主要原因是许多机构都想要检查HTTP流量,或网络环境需要缓存,或认为TLS会增加额外的负担,以及认为安全证书太昂贵,等等。
虽然规格没有强迫使用TLS实现HTTP/2支持,目前浏览器开发商在实现HTTP/2支持时都是经过TLS, Firefox 和Chrome开发团队的成员明确表示他们只实现使用TLS的HTTP/2,而IE的团队成员一开始表示他们不使用TLS,但Windows 10技术预览版上第一个支持HTTP/2的测试版本也是只使用TLS。
Firefox 35 was released this week and became the first browser to enable support for the HTTP/2 protocol by default.
The HTTP/2 specification has not been finalised so Firefox actually enabled the Draft 14 version of HTTP/2 but little is expected to change in the final draft. Google is now supporting HTTP/2 draft 14 on its web servers alongside the SPDY protocol giving us a chance to compare the performance of raw HTTPS, SPDY and HTTP/2 on the same web page.
We also updated HttpWatch this week so that it supports HTTP/2 within Firefox. It has new columns to display information about the protocols being used by each request:
The performance test used HttpWatch with Firefox to run a series of simple page load tests against the Google UK home page using the three protocols:
We switched between the protocols by enabling and disabling the following entries in Firefox’s about:config page:
Each test was performed in a fresh instance of Firefox with an empty browser cache. Although this testing was simplistic and only used a simple page it does highlight some important differences between the protocols.
Continue reading »
为了鼓励更多网站实现有效的HTTPS加密,Chromium开发团队在网站上公布了一份计划,准备将HTTP标记为不安全。Chromium是Chrome浏览器的开源版本。根据这份计划,Google Chrome安全团队表示他们的意图是让Web上的数据传输变得更安全。HTTP是透明传输,很容易被监视者发现用户浏览的内容,而如果网站启用了有效的HTTPS加密,那么监视者除了知道你访问了哪个网站外并不知道你访问的内容。
Shawn the R0ck 写道”SSL/TLS在过去的多年当中都在安全领域扮演者重要的角色,多年来也受到了公众的忽视,当一系列的事件发生后,从BEAST/CRIME到Lucky-13和heartbleed,另外一方面Snowden哥哥的故事也让整个世界增添了一些色彩,之后我们终于相信了EFF在2011年就已经强调的TLS v1.2的重要性…回到系统管理员和信息安全从业人员面对的日常问题之一:如何使用加密手段保护你的网站。Qualys的SSL Labs在2013年为社区提供了一份手册《SSL/TLS部署最佳实践》(原文链接),参考这份文档或许会省掉你一些时间。”
Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布了 Let’s Encrypt CA项目,计划为网站提供免费SSL证书,加速将Web从HTTP过渡到HTTPS。
Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。
部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用,Let’s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。
Google考虑提升HTTPS网站排名,以推动加密的普及,遏制监视。
《华尔街日报》援引知情人士的消息称,Google负责在搜索结果中过滤垃圾信息的工程师Matt Cutts在近期一个会议上表示,Google正考虑把那些使用加密技术的网站在搜索结果中的排名往前提。
一位知情人士透露,Cutts在私下的谈话中也提到了Google对于作出上述调整的兴趣。该人士说,Google内部关于此事的讨论仍处于初步阶段,任何调整都不会很快出现。正确实现的加密将能阻止NSA等机构对互联网的监视。
由于各种原因,在国内上网,免不了要和HTTP代理服务器打交道。HTTP代理服务器分加密代理服务器和普通代理服务器。如果我们在自己的电脑上运行了某些软件之后就能访问之前不能访问的网站,那么很可能是加密代理;如果我们直接在浏览器中设置代理服务器,不用运行任何软件,那么这种类型的代理服务器就是普通代理。一般来说,如果加密代理软件没有问题,加密代理的安全性要好于普通代理。在这里,本文主要还是讲述普通代理的安全性。
一、HTTP代理协议
浏览器和HTTP代理服务器之间是通过HTTP代理协议进行通讯的。如果我们没有使用运行在自己的电脑上的加密代理,而是直接在浏览器中设置了在互联网上的代理服务器地址,那么浏览器就和代理服务器之间进行的通讯就会发送到互联网上。代理服务器常见的请求有GET、POST和CONNECT,下面分别做介绍: Continue reading »