HTTPS的誤解 二

2021-07-11 18:25:49 字數 1071 閱讀 6475

部署ssl證書,需要這樣幾步:

1. 在你的伺服器上,生成乙個csr檔案(ssl證書請求檔案,ssl certificate signing request)。

2. 使用csr檔案,購買ssl證書。

3. 安裝ssl證書。

這些步驟都經過精心設計,保證傳輸的安全,防止有人擷取或非法獲得證書。證書安裝完成後,易維信(evtrust)會提醒您備份好證書的公鑰、私鑰、證書密碼檔案。如果您的伺服器重灌後,不需要重新申請證書,只需要把備份的證書進行恢復。如果您要更換webserver 推薦您使用易維信證書格式轉換工具,就必須以其他格式輸出證書,也不需要重新購買新的證書。

比如,iis的做法是生成乙個可以轉移的.pfx檔案,並加以密碼保護。將這個檔案傳入其他伺服器,將可以繼續使用原來的ssl證書了。

由於ipv4將要分配完畢,所以很多人關心這個問題。每個ip位址只能安裝一張ssl證書,這是毫無疑問的。但是,如果你使用子網域名稱萬用字元ssl證書(wildcard ssl certificate)能在乙個ip位址上部署多個https子網域名稱。比如,和就共享同乙個ip位址。

另外,ucc(統一通訊證書,unified communications certificate)支援一張證書同時匹配多個站點,可以是完全不同的網域名稱。sni(伺服器名稱指示,server name indication)允許乙個ip位址上多個網域名稱安裝多張證書。伺服器端,apache和nginx支援該技術,iis不支援;客戶端,ie 7+、firefox 2.0+、chrome 6+、safari 2.1+和opera 8.0+支援。

如果你在網上搜一下,就會發現很多便宜的ssl證書,也有免費的ssl證書。dv ssl證書只需要驗證網域名稱所有權,所以沒有驗證審查成本**低,當然ov ssl,ev ssl 證書要經過嚴格的身份驗證,所以**比較貴。

另外在品牌知名度方面,便宜的證書當然會比大機構頒發的證書差一點,但是幾乎所有的主流瀏覽器都接受這些證書。我們推薦使用者購買知名ca簽發的ssl證書,比如賽門鐵克,geotrust等ca機構。

HTTPS的誤解 一

這種想法很普遍。人們覺得,https可以保護使用者的密碼,此外就不需要了。firefox瀏覽器新外掛程式firesheep,證明了這種想法是錯的。我們可以看到,在twitter和facebook上,劫持其他人的session是非常容易的。咖啡館的免費wifi,就是乙個很理想的劫持環境,因為兩個原因 ...

HTTPS的七個誤解

許多人以為,出於安全考慮,瀏覽器不會在本地儲存https快取。實際上,只要在http頭中使用特定命令,https是可以快取的。微軟的ie專案經理eric lawrence寫道 說來也許令人震驚,只要http頭允許這樣做,所有版本的ie都快取https內容。比如,如果頭命令是cache control...

HTTPS的七個誤解

許多人以為,出於安全考慮,瀏覽器不會在本地儲存https快取。實際上,只要在http頭中使用特定命令,https是可以快取的。微軟的ie專案經理eric lawrence寫道 說來也許令人震驚,只要http頭允許這樣做,所有版本的ie都快取https內容。比如,如果頭命令是cache control...