最近好几个朋友在给网站开启 HTTP/2 后,都遇到了无法访问的问题。其中有的网站只是 Firefox 无法访问,通过控制台网络面板可以看到请求被 Abort;有的网站不但 Firefox 无法访问,连 Chrome 也会跳到错误页,错误代码是「ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY」。诡异的是,只要去掉对 HTTP/2 的支持(例如去掉 Nginx listen 配置中的 http2)就一切正常。也就是说无法访问的现象只存在于 HTTPS + HTTP/2 的组合,单独提供 HTTPS 服务时就是好的。
这个问题比较有趣,本文除了告诉大家如何解决它之外,还会帮助大家弄清问题的来龙去脉。如果你只关心结论,直接看最后的小结即可。 Continue reading »
前提:已经拥有域名证书,且服务器支持添加SSL证书(如VPS或云主机,以及部分虚拟主机)
虽然DiscuzX3.2已经针对https做了优化,但仍有很多地方需要改动,经过在几个生产环境的改造中发现,Discuz目前可以完美支持https并显示绿色https图标,不过有些麻烦,且每个环境都会出现自己的问题。
第一步:
全局 > 站点信息 > 网站 URL,修改为https://bolg.yibadao.net/的格式
第二步:修成Discuz适配https
如果你的Web服务是Apache,请忽略这一步,Nginx请继续看:
Discuz判断网站是否启动SSL是采用 $_SERVER[‘HTTPS’] 的方式,此方法不支持Nginx(nginx+php-fpm),需要先做一些修改,让Discuz使用 $_SERVER[‘SERVER_PORT’]来判断网站是否启用SSL。 Continue reading »
从2016年1月1日起,哈萨克斯坦网民将需要依法安装国家安全证书,政府推行国家安全证书的理由是保护访问外国网站的哈萨克用户,但这事实上是对所有HTTPS流量发动中间人攻击。今天,越来越多的网站为保护用户隐私和防止监视开始使用HTTPS,加密用户与服务器之间的连接。中国曾经发生过多次伪造证书的中间人攻击(如一,二)。
原文链接(已删除):http://telecom.kz/en/news/view/18729
Google Cache上的页面: http://webcache.googleusercontent.com/search?q=cache:iNgneBgLnIUJ:telecom.kz/en/news/view/18729+&cd=1&hl=en&ct=clnk&gl=us
打不开谷歌缓存页面的,请看下一页的文字内容:https://www.icocean.com/blog/?p=4550&page=2
Oct 19, 2015 • Josh Aas, ISRG Executive Director
We’re pleased to announce that we’ve received cross-signatures from IdenTrust, which means that our certificates are now trusted by all major browsers. This is a significant milestone since it means that visitors to websites using Let’s Encrypt certificates can enjoy a secure browsing experience with no special configuration required.
Both Let’s Encrypt intermediate certificates, Let’s Encrypt Authority X1 and Let’s Encrypt Authority X2, received cross-signatures. Web servers will need to be configured to serve the appropriate cross-signature certificate as part of the trust chain. The Let’s Encrypt client will handle this automatically. Continue reading »
Shawn the R0ck 写道”SSL/TLS在过去的多年当中都在安全领域扮演者重要的角色,多年来也受到了公众的忽视,当一系列的事件发生后,从BEAST/CRIME到Lucky-13和heartbleed,另外一方面Snowden哥哥的故事也让整个世界增添了一些色彩,之后我们终于相信了EFF在2011年就已经强调的TLS v1.2的重要性…回到系统管理员和信息安全从业人员面对的日常问题之一:如何使用加密手段保护你的网站。Qualys的SSL Labs在2013年为社区提供了一份手册《SSL/TLS部署最佳实践》(原文链接),参考这份文档或许会省掉你一些时间。”
Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布了 Let’s Encrypt CA项目,计划为网站提供免费SSL证书,加速将Web从HTTP过渡到HTTPS。
Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。
部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用,Let’s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。
匿名用户 写道 “2014-10-2下午14点左右,发现无法登入microsoft账户。后在访问login.live.com发现证书错误,证书使用者和颁发者为:
CN = hotmai.com O = hotmail.com C = cn
有效期从2014年9月23日 19:34:03到2015年9月23日 19:34:03
公钥为30 81 89 02 81 81 00 9d 00 fb f7 e7 36 6c 25 78 c7 f1 4d 10 52 e6 26 24 c2 ae 23 74 ec dd 5c c7 56 c4 98 d8 08 94 8b 8b 37 72 07 69 5f 47 55 05 2b 44 3a db 7d 07 90 86 2a 51 5c da 50 2e 21 b1 2f 67 be 29 f7 8d 00 77 ed 6e 54 11 25 c0 7b 1b 4d 08 88 29 49 0f 4d 05 a7 f8 b7 9a b9 b9 dd c0 91 b4 75 d6 b7 5b e7 9f 5e ff 03 0b cc 6b 32 0f 80 8c 2f 71 e5 27 08 1c 7f 86 47 02 da ca 21 56 db 05 17 06 b7 ce 89 02 03 01 00 01
Netscape Comment为example comment extension
之后没几分钟又恢复。”
陈少举 写道 “去年一月份,GitHub遭受到的国家级的SSL中间人攻击,在今年八月份,教育网的Google IPv6访问也遭受到了同样的SSL中间人攻击。而在今天,Yahoo也遭受到了SSL中间人攻击。今天(2014-09-30)下午四点左右,GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击,浏览器发出了证书错误的警告。
可能由于流量过大导致SSL劫持设备资源消耗过于厉害,一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后,通过分析伪造的SSL证书,与之前Google IPv6所遭受的SSL攻击所使用的证书有多处相似:使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾,有效期均为一年,公钥均为RSA 1024 Bits,并且 Netscape Comment 同为“example comment extension”。
而根据抓包结果,在遭受SSL中间人攻击时,使用的是TLSv1协议,但是未被SSL中间人攻击的情况下,应为TLSv1.2,这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致。
截至到目前,此次SSL中间人攻击仅影响各个国家的Yahoo主站,并未影响到包括登录(login.yahoo.com)、邮箱(mail.yahoo.com)等网址。”
