• 关于

    ssl证书验证过程

    的搜索结果

问题

阿里云免费SSL证书申请地址及申请教程

阿里云SSL免费证书2021更新,需要在云盾证书资源包处选择免费证书扩容包,资源包个数20,新手站长网来详细说下阿里云免费SSL证书从购买到申请全过程: 阿里云免费SSL证书申请教程...
新手站长网 2021-01-28 13:26:09 2 浏览量 回答数 0

问题

SSL证书验证失败

1.SSL证书申请完成之后进入下一步验证时,显示验证失败 2. 失败原因 : URL检测过程中发生一个错误...
1661016340445700 2019-12-01 19:01:34 100 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 当您购买数字证书并支付完成后,您需要填写证书的详细信息并且提交审核,完成证书申请流程。 参照以下步骤填写材料: 登录证书服务控制台。 在我的订单列表中,选择证书实例,单击补全,即可进入补全信息页面填写证书的详细信息。 补全证书信息后,单击提交审核,完成证书申请流程。 填写域名信息 您需要按照选购证书时选定的域名种类和域名个数来填写域名信息。例如,您选择了保护多个域名,并限定保护五个域名,则您需要在此步骤填写全部的五个域名,每行一个域名。 阿里云会对您填写的域名信息进行校验。 说明 CA中心会对您所提交的域名做所有权验证,您会收到由CA中心发送的一封电子邮件要求您进行域名所有权验证。在您提交资料后,请及时检查您的邮箱(申请人Email邮箱)并进行验证。如果您的域名所有权验证不通过,您将无法通过证书审核。 填写申请信息 根据您选择的证书类型不同,您需要填写不同的信息。如果您购买的是免费版SSL或者普通版SSL证书,您需要填写申请人个人信息;如果您购买的是专业版SSL或者高级版SSL证书,您在填写申请人个人信息的同时还需要填写申请单位的详细信息。 填写个人信息 按要求填写申请人的联系信息,务必确认 申请确认Email内容的准确性。 填写企业组织信息 按要求填写所需的企业组织信息,这些信息将会用来验证您企业的真实性。 上传相关信息 建议您使用 系统生成CSR的方式来直接生成证书请求文件。 使用系统生成CSR方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载您的证书和私钥。 您也可以自己生成CSR(Certificate Signing Request)证书请求文件,并上传。关于如何生成CSR文件,请查看如何制作CSR文件。 说明 您的CSR文件格式正确与否直接关系到您的证书申请流程是否能顺利完成。 您在制作CSR文件时请务必保存好您的私钥文件,私钥和数字证书一一对应,一旦丢失了私钥您的数字证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。 如果您购买的是专业版SSL或者高级版SSL证书,您必须完成企业真实合法性校验。企业真实合法性校验步骤如下: 下载并打印校验文件模版。 完整填写校验文件。 签署姓名并加盖企业公章。 将校验文件拍照,并将照片上传。(照片格式必须为PNG、GIF、或JPEG格式的图片,且图片大小不能超过500 KB) 说明 不同的CA中心对企业资质验证的需求不同,您需要按照CA中心的要求提供相应的审核资料。如审核资料不完整,将无法通过证书审核。申请过程中,您可以保存您所填写的信息以供下一次证书申请时使用。 提交审核 当您填写完全部信息后,需要提交审核来完成证书申请工作。 阿里云将在收到您的提交审核信息后开始证书资质的验证。验证时间根据不同CA中心的要求而不同,请您关注您的邮箱和电话,及时回馈将能有效缩短您的数字证书的验证时间。 如验证不通过,将会在您的订单中提示失败原因,您需要相应修改申请信息(尤其是企业资质审核信息)重新申请审核。 说明 提交审核后,CA中心将向您的邮箱发送一封验证邮件,您需要按照如下流程进行域名验证。如不完成域名验证,您将无法通过证书审核,且您的证书申请将会一直显示审核中的状态。
2019-12-01 23:11:14 0 浏览量 回答数 0

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

回答

详细解答可以参考官方帮助文档 当您购买数字证书并支付完成后,您需要填写证书的详细信息并且提交审核,完成证书申请流程。 参照以下步骤填写材料: 登录证书服务控制台。 在我的订单列表中,选择证书实例,单击补全,即可进入补全信息页面填写证书的详细信息。 补全证书信息后,单击提交审核,完成证书申请流程。 填写域名信息 您需要按照选购证书时选定的域名种类和域名个数来填写域名信息。例如,您选择了保护多个域名,并限定保护五个域名,则您需要在此步骤填写全部的五个域名,每行一个域名。 阿里云会对您填写的域名信息进行校验。 说明 CA中心会对您所提交的域名做所有权验证,您会收到由CA中心发送的一封电子邮件要求您进行域名所有权验证。在您提交资料后,请及时检查您的邮箱(申请人Email邮箱)并进行验证。如果您的域名所有权验证不通过,您将无法通过证书审核。 填写申请信息 根据您选择的证书类型不同,您需要填写不同的信息。如果您购买的是免费版SSL或者普通版SSL证书,您需要填写申请人个人信息;如果您购买的是专业版SSL或者高级版SSL证书,您在填写申请人个人信息的同时还需要填写申请单位的详细信息。 填写个人信息 按要求填写申请人的联系信息,务必确认 申请确认Email内容的准确性。 填写企业组织信息 按要求填写所需的企业组织信息,这些信息将会用来验证您企业的真实性。 上传相关信息 建议您使用 系统生成CSR的方式来直接生成证书请求文件。 使用系统生成CSR方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载您的证书和私钥。 您也可以自己生成CSR(Certificate Signing Request)证书请求文件,并上传。关于如何生成CSR文件,请查看如何制作CSR文件。 说明 您的CSR文件格式正确与否直接关系到您的证书申请流程是否能顺利完成。 您在制作CSR文件时请务必保存好您的私钥文件,私钥和数字证书一一对应,一旦丢失了私钥您的数字证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。 如果您购买的是专业版SSL或者高级版SSL证书,您必须完成企业真实合法性校验。企业真实合法性校验步骤如下: 下载并打印校验文件模版。 完整填写校验文件。 签署姓名并加盖企业公章。 将校验文件拍照,并将照片上传。(照片格式必须为PNG、GIF、或JPEG格式的图片,且图片大小不能超过500 KB) 说明 不同的CA中心对企业资质验证的需求不同,您需要按照CA中心的要求提供相应的审核资料。如审核资料不完整,将无法通过证书审核。申请过程中,您可以保存您所填写的信息以供下一次证书申请时使用。 提交审核 当您填写完全部信息后,需要提交审核来完成证书申请工作。 阿里云将在收到您的提交审核信息后开始证书资质的验证。验证时间根据不同CA中心的要求而不同,请您关注您的邮箱和电话,及时回馈将能有效缩短您的数字证书的验证时间。 如验证不通过,将会在您的订单中提示失败原因,您需要相应修改申请信息(尤其是企业资质审核信息)重新申请审核。 说明 提交审核后,CA中心将向您的邮箱发送一封验证邮件,您需要按照如下流程进行域名验证。如不完成域名验证,您将无法通过证书审核,且您的证书申请将会一直显示审核中的状态。
2019-12-01 23:11:14 0 浏览量 回答数 0

问题

为vsftpd安装"沃通"DV免费SSL证书

有的ftp客户端,默认使用安全连接来管理文件,所以写此帖。 目的:在Debian 7 系统里,为 vsftpd 服务端安装SSL证书,启用安全连接。 过程...
dongshan8 2019-12-01 21:34:40 8836 浏览量 回答数 3

问题

手动校验SSL证书私匙和证书是否匹配

一般我们申请免费证书时,如阿里云的单域名证书,是自动生成CSR文件,不需自行创建,审核通过后,会收到证书文件(*.crt 或 *.pem)和私...
dongshan8 2019-12-01 21:42:41 2487 浏览量 回答数 1

问题

为Windows 2012系统远程桌面配置赛门铁克免费型DV SSL证书

默认,Windows 2012系统的远程桌面是使用服务器自签的SSL证书来提供安全连接,当使用“远程桌面连接”时,会提示“证书来自不信任的证书验证机构”。 目的:导入由第三方签发的...
dongshan8 2019-12-01 21:32:55 7351 浏览量 回答数 3

回答

项目一直使用http未加密的域名,考虑安全性,购买了ca安全证书实现https化,但由于有些场景访问过来还是http,因为需要把http访问用户直接转为https 准备工作: 下载安装iis组件,url重写,下载地址:https://www.iis.net/downloads/microsoft/url-rewrite 按需下载,我这里下载中文64位版本 1、安装后,选中某个站点,IIS可视化管理界面上会多一个URL重写模块 开始工作: 1、购买SSL证书,打开阿里云,选择产品——ssl证书 2、选择 免费型DV SSL  IIS7 / IIS 7.5 下绑定 HTTPS 网站(购买Wildcard SSL泛域名证书可绑定多个子域名)参考上文购买成功后,进入证书控制台: 占申请: 填写证书的网址: 点验证: 提交审核: 成功后可以看到这个: 点下载: 下载成功后,可看到两个文件: IIS服务器SSL证书安装 • IIS7/IIS8在证书控制台下载IIS版本证书,下载到本地的是一个压缩文件,解压后里面包含.pfx文件是证书文件,pfx_password.txt是证书文件的密码。友情提示: 每次下载都会产生新密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新密码。申请证书时如果没有选择系统创建CSR,则没有该文件,请选择其它服务器下载.crt文件,利用openssl命令自己生成pfx证书。也可右点击安装,默认目录: 输入密码后,会显示导入成功。下面进行iis绑定安装: 进入网站,选择类型https绑定刚才的证书: 3、先进入服务器看看有没有这个,有的话就不用下载(目录server2012以上都自带) 下载安装URL重写模块:Microsoft URL Rewrite Module32位:http://download.microsoft.com/download/4/9/C/49CD28DB-4AA6-4A51-9437-AA001221F606/rewrite_x86_zh-CN.msi64位:http://download.microsoft.com/download/4/E/7/4E7ECE9A-DF55-4F90-A354-B497072BDE0A/rewrite_x64_zh-CN.msi4、取消勾选“SSL设置”-》“要求 SSL” 5、ASP.NET站可直接修改web.config(与“6、IIS配置图示”效果相同),例如:见...节点 <?xml version="1.0" encoding="utf-8"?> <rewrite> <rules> <rule name="HTTP to HTTPS redirect" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" ignoreCase="true" /> </conditions> <action type="Redirect" redirectType="Found" url="https://{HTTP_HOST}/{R:1}" /> </rule> </rules> </rewrite> 6、IIS配置图示(图形化的操作过程,与上步效果相同,适用于asp/php等站)选择要配置的网站,找到“URL重写”,没有的话看上面第3步 双击网站,选择功能,找到url重写如果没有url重写,就要下载,看上面: 进入“URL重写”模块,点击“添加规则” 选择“空白规则” 编辑规则,名称:自己定义模式:(.*)条件:{HTTPS}条件模式: off 或 ^OFF$ 或 重定向URL:https://{HTTP_HOST}/{R:1}重定向类型:已找到(302) 或 参阅其它(303) 配置完成后“应用”到当前站点: URL重写配置结果: 至此配置完成! 需要技术支持联系QQ:1208877577  技术支持,100元每次。。。
kmptygya 2019-12-01 23:34:40 0 浏览量 回答数 0

问题

如何用Windows IIS和阿里云NAS提供Web和FTP服务(四)

四、IIS FTP服务的设置 很多IIS用户希望用FTP来共享文件或进行网站内容发布。在这里我们介绍如何通过IIS 设置FTP over SSL服务 (又名FTP-SSL, S-FTP, FTP Secure...
云栖大讲堂 2019-12-01 22:10:49 1423 浏览量 回答数 0

问题

给阿里云ECS用户一个好东西——全球唯一免费SSL证书申请StartSSL

这年头GFW封的厉害,就架个phproxy,直接访问dropbox.com就被封IP,必须启用https才能不封IP; 有敏感内容的网站们还是启用https吧; 一...
hxs 2019-12-01 22:03:45 14542 浏览量 回答数 3

回答

回 楼主lovezsr的帖子 你这个代码放到服务器上面会报 The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. ------------------------- Net开发之获取AccessToken The remote certificate is invalid according to the validation procedure. 远程证书根据验证过程无效 The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. 在本地运行可以,部署到服务器就报这些错误,求解答
人人生活加 2019-12-02 03:06:24 0 浏览量 回答数 0

回答

远程桌面连接分两个阶段: 第一个阶段是RDP协议的联通,这个过程中会做服务器身份的验证,就是你看到的这个界面。Windows服务器采用的是证书认证。证书认证有两个要求: 1、颁发证书的机构必须是你电脑里面的根证书颁发机构,这样颁发的证书才是有效的。但是,你电脑默认证书是自签名证书,不是权威机构颁发的证书,会报“不信任的证书认证机构”,不过这不影响他的SSL加密签名功能,也就不影响通信的安全问题;这个功能是用来防止你连接了钓鱼的服务器,比如我用DNS缓存污染,让你不知不觉登录了假的服务器,骗取你的密码。那么如果你的服务器是有权威机构的SSL证书,你就马上能发现证书报错。 2、你访问服务器时的域名,和你的机器名完全相同。也就是说,你的机器名字是aaa.bbb.com,那么你访问他时的域名,也必须是aaa.bbb.com,你用其他名字或者IP地址,与证书名称对不上,都会提示“服务器名错误”。 第二阶段:协议联通后(可以忽略第一阶段的警告),才开始验证你的账户和密码是否和有权限访问远程桌面的账户匹配。 所以如果账户密码错误,第一检查账户密码是否完全一致,第二,检查账户权限是否允许远程访问。 “答案来源于网络,供您参考” 希望以上信息可以帮到您!
牧明 2019-12-02 02:17:16 0 浏览量 回答数 0

回答

如果是免费的证书,你需要自助完成审核。 详情请参考: 订单提交审核后需要做什么? 对于免费的证书来说,如果域名验证类型选择的是文件,或者虽然选择的是DNS,但没有勾选“证书绑定的域名在【阿里云的云解析】产品中”,又或者你的域名不是在阿里万网注册的,你提交审核之后,看到这一点是非常重要的!因为如果你不做接下来的操作,是永远不会审核通过的。 参考我的文章: 阿里云免费证书DV SSL申请过程记录
微wx笑 2019-12-02 00:25:28 0 浏览量 回答数 0

问题

在Debian 8 系统里安装 iRedMail 电子邮局系统

应云友要求,写此帖。 环境:Debian 8 64位系统,iRedMail-0.9.5-1,系统主机名:yun.anqun.org,电子邮局域名...
dongshan8 2019-12-01 21:42:11 5070 浏览量 回答数 3

回答

打开cmd ,输入 curl --help,显示入下,就代表成功了。 常用curl命令: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 -a/--append 上传文件时,附加到目标文件 -A/--user-agent 设置用户代理发送给服务器 - anyauth 可以使用“任何”身份验证方法 -b/--cookie <name=string/file> cookie字符串或文件读取位置 - basic 使用HTTP基本验证 -B/--use-ascii 使用ASCII /文本传输 -c/--cookie-jar 操作结束后把cookie写入到这个文件中 -C/--continue-at 断点续转 -d/--data HTTP POST方式传送数据 --data-ascii 以ascii的方式post数据 --data-binary 以二进制的方式post数据 --negotiate 使用HTTP身份验证 --digest 使用数字身份验证 --disable-eprt 禁止使用EPRT或LPRT --disable-epsv 禁止使用EPSV -D/--dump-header 把header信息写入到该文件中 --egd-file 为随机数据(SSL)设置EGD socket路径 --tcp-nodelay 使用TCP_NODELAY选项 -e/--referer 来源网址 -E/--cert <cert[:passwd]> 客户端证书文件和密码 (SSL) --cert-type 证书文件类型 (DER/PEM/ENG) (SSL) --key 私钥文件名 (SSL) --key-type 私钥文件类型 (DER/PEM/ENG) (SSL) --pass 私钥密码 (SSL) --engine 加密引擎使用 (SSL). "--engine list" for list --cacert CA证书 (SSL) --capath CA目录 (made using c_rehash) to verify peer against (SSL) --ciphers SSL密码 --compressed 要求返回是压缩的形势 (using deflate or gzip) --connect-timeout 设置最大请求时间 --create-dirs 建立本地目录的目录层次结构 --crlf 上传是把LF转变成CRLF -f/--fail 连接失败时不显示http错误 --ftp-create-dirs 如果远程目录不存在,创建远程目录 --ftp-method [multicwd/nocwd/singlecwd] 控制CWD的使用 --ftp-pasv 使用 PASV/EPSV 代替端口 --ftp-skip-pasv-ip 使用PASV的时候,忽略该IP地址 --ftp-ssl 尝试用 SSL/TLS 来进行ftp数据传输 --ftp-ssl-reqd 要求用 SSL/TLS 来进行ftp数据传输 -F/--form <name=content> 模拟http表单提交数据 -form-string <name=string> 模拟http表单提交数据 -g/--globoff 禁用网址序列和范围使用{}和[] -G/--get 以get的方式来发送数据 -h/--help 帮助 -H/--header 自定义头信息传递给服务器 --ignore-content-length 忽略的HTTP头信息的长度 -i/--include 输出时包括protocol头信息 -I/--head 只显示文档信息 从文件中读取-j/--junk-session-cookies忽略会话Cookie - 界面 指定网络接口/地址使用 - krb4 <级别>启用与指定的安全级别krb4 -j/--junk-session-cookies 读取文件进忽略session cookie --interface 使用指定网络接口/地址 --krb4 使用指定安全级别的krb4 -k/--insecure 允许不使用证书到SSL站点 -K/--config 指定的配置文件读取 -l/--list-only 列出ftp目录下的文件名称 --limit-rate 设置传输速度 --local-port 强制使用本地端口号 -m/--max-time 设置最大传输时间 --max-redirs 设置最大读取的目录数 --max-filesize 设置最大下载的文件总量 -M/--manual 显示全手动 -n/--netrc 从netrc文件中读取用户名和密码 --netrc-optional 使用 .netrc 或者 URL来覆盖-n --ntlm 使用 HTTP NTLM 身份验证 -N/--no-buffer 禁用缓冲输出 -o/--output 把输出写到该文件中 -O/--remote-name 把输出写到该文件中,保留远程文件的文件名 -p/--proxytunnel 使用HTTP代理 --proxy-anyauth 选择任一代理身份验证方法 --proxy-basic 在代理上使用基本身份验证 --proxy-digest 在代理上使用数字身份验证 --proxy-ntlm 在代理上使用ntlm身份验证 -P/--ftp-port 使用端口地址,而不是使用PASV -Q/--quote 文件传输前,发送命令到服务器 -r/--range 检索来自HTTP/1.1或FTP服务器字节范围 --range-file 读取(SSL)的随机文件 -R/--remote-time 在本地生成文件时,保留远程文件时间 --retry 传输出现问题时,重试的次数 --retry-delay 传输出现问题时,设置重试间隔时间 --retry-max-time 传输出现问题时,设置最大重试时间 -s/--silent静音模式。不输出任何东西 -S/--show-error 显示错误 --socks4 <host[:port]> 用socks4代理给定主机和端口 --socks5 <host[:port]> 用socks5代理给定主机和端口 --stderr -t/--telnet-option <OPT=val> Telnet选项设置 --trace 对指定文件进行debug --trace-ascii Like --跟踪但没有hex输出 --trace-time 跟踪/详细输出时,添加时间戳 -T/--upload-file 上传文件 --url Spet URL to work with -u/--user <user[:password]>设置服务器的用户和密码 -U/--proxy-user <user[:password]>设置代理用户名和密码 -v/--verbose -V/--version 显示版本信息 -w/--write-out [format]什么输出完成后 -x/--proxy <host[:port]>在给定的端口上使用HTTP代理 -X/--request 指定什么命令 -y/--speed-time 放弃限速所要的时间。默认为30 -Y/--speed-limit 停止传输速度的限制,速度时间'秒 -z/--time-cond 传送时间设置 -0/--http1.0 使用HTTP 1.0 -1/--tlsv1 使用TLSv1(SSL) -2/--sslv2 使用SSLv2的(SSL) -3/--sslv3 使用的SSLv3(SSL) --3p-quote like -Q for the source URL for 3rd party transfer --3p-url 使用url,进行第三方传送 --3p-user 使用用户名和密码,进行第三方传送 -4/--ipv4 使用IP4 -6/--ipv6 使用IP6 -#/--progress-bar 用进度条显示当前的传送状态    例子: 1 curl http://item.taobao.com/item.html?id=1264 获得页面的HTML数据,如图所示。 1 curl http://item.taobao.com/item.html?id=1264 -i    除了获取页面HTML数据外,还可以查看这次访问的HTTP头的信息,如图所示。 1 curl http://item.taobao.com/item.html?id=1264 -I 仅获取HTTP头的 1 curl http://item.taobao.com/item.html?id=1264 -v    获取更详细的信息,可以看到包括解析ip的过程都有。 1 curl http://item.taobao.com/item.html?id=1264 实际上就是在模拟form表单,该表单使用的是get方法,去掉获取数据同上。 1 curl -I -m 10 -o /dev/null -s -w %{http_code} www.baidu.com HTTP返回状态码意义:请查看此处http状态码大全
游客2q7uranxketok 2021-02-03 18:21:19 0 浏览量 回答数 0

问题

阿里云免费SSL证书到期新购(续期)图文教程

前言:免费证书到期如何更换是一个站长的痛点,不愿意再麻烦的更改conf信息。今天我们来体验一下阿里云证书服务提供的到期新购功能,顺便验证一下自动化程度。 今天收到阿里云的提醒短信:...
51干警网 2019-12-01 21:35:40 19314 浏览量 回答数 4

回答

HTTPS基本原理 一、http为什么不安全。 http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重的安全问题。 国外很多网站都支持了全站https,国内方面目前百度已经在年初完成了搜索的全站https,其他大型的网站也在跟进中,百度最先完成全站https的最大原因就是百度作为国内最大的流量入口,劫持也必然是首当其冲的,造成的有形的和无形的损失也就越大。关于流量劫持问题,我在另一篇文章中也有提到,基本上是互联网企业的共同难题,https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲,很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。 2、https如何保证安全 要解决上面的问题,就要引入加密以及身份验证的机制。 这时我们引入了非对称加密的概念,我们知道非对称加密如果是公钥加密的数据私钥才能解密,所以我只要把公钥发给你,你就可以用这个公钥来加密未来我们进行数据交换的秘钥,发给我时,即使中间的人截取了信息,也无法解密,因为私钥在我这里,只有我才能解密,我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥,通过这个对称密钥来进行后续的数据加密。除此之外,非对称加密可以很好的管理秘钥,保证每次数据加密的对称密钥都是不相同的。 但是这样似乎还不够,如果中间人在收到我的给你公钥后并没有发给你,而是自己伪造了一个公钥发给你,这是你把对称密钥用这个公钥加密发回经过中间人,他可以用私钥解密并拿到对称密钥,此时他在把此对称密钥用我的公钥加密发回给我,这样中间人就拿到了对称密钥,可以解密传输的数据了。为了解决此问题,我们引入了数字证书的概念。我首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给我,此时我就不是简单的把公钥给你,而是给你一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是我给你的。 所以综合以上三点: 非对称加密算法(公钥和私钥)交换秘钥 + 数字证书验证身份(验证公钥是否是伪造的) + 利用秘钥对称加密算法加密数据 = 安全 3、https协议简介 为什么是协议简介呢。因为https涉及的东西实在太多了,尤其是一些加密算法,非常的复杂,对于这些算法面的东西就不去深入研究了,这部分仅仅是梳理一下一些关于https最基本的原理,为后面分解https的连接建立以及https优化等内容打下理论基础。 3.1 对称加密算法 对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信至关重要。 对称加密又分为两种模式:流加密和分组加密。 流加密是将消息作为位流对待,并且使用数学函数分别作用在每一个位上,使用流加密时,每加密一次,相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器,它生成的位流与明文位进行异或,从而生成密文。现在常用的就是RC4,不过RC4已经不再安全,微软也建议网络尽量不要使用RC4流加密。 分组加密是将消息划分为若干位分组,这些分组随后会通过数学函数进行处理,每次一个分组。假设需要加密发生给对端的消息,并且使用的是64位的分组密码,此时如果消息长度为640位,就会被划分成10个64位的分组,每个分组都用一系列数学公式公式进行处理,最后得到10个加密文本分组。然后,将这条密文消息发送给对端。对端必须拥有相同的分组密码,以相反的顺序对10个密文分组使用前面的算法解密,最终得到明文的消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法,现在已经被证明不安全。而3DES是一个过渡的加密算法,相当于在DES基础上进行三重运算来提高安全性,但其本质上还是和DES算法一致。而AES是DES算法的替代算法,是现在最安全的对称加密算法之一。分组加密算法除了算法本身外还存在很多种不同的运算方式,比如ECB、CBC、CFB、OFB、CTR等,这些不同的模式可能只针对特定功能的环境中有效,所以要了解各种不同的模式以及每种模式的用途。这个部分后面的文章中会详细讲。 对称加密算法的优、缺点: 优点:算法公开、计算量小、加密速度快、加密效率高。 缺点:(1)交易双方都使用同样钥匙,安全性得不到保证; (2)每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。 (3)能提供机密性,但是不能提供验证和不可否认性。 3.2 非对称加密算法 在非对称密钥交换算法出现以前,对称加密一个很大的问题就是不知道如何安全生成和保管密钥。非对称密钥交换过程主要就是为了解决这个问题,使得对称密钥的生成和使用更加安全。 密钥交换算法本身非常复杂,密钥交换过程涉及到随机数生成,模指数运算,空白补齐,加密,签名等操作。 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。涉及到比较复杂的数学问题,下面就简单介绍下最经典的RSA算法。RSA:算法实现简单,诞生于1977年,历史悠久,经过了长时间的破解测试,安全性高。缺点就是需要比较大的素数也就是质数(目前常用的是2048位)来保证安全强度,很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法。我觉得RSA可以算是最经典的非对称加密算法了,虽然算法本身都是数学的东西,但是作为最经典的算法,我自己也花了点时间对算法进行了研究,后面会详细介绍。 非对称加密相比对称加密更加安全,但也存在两个明显缺点: 1,CPU计算资源消耗非常大。一次完全TLS握手,密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%,如果应用层数据也使用非对称加解密,性能开销太大,无法承受。 2,非对称加密算法对加密内容的长度有限制,不能超过公钥长度。比如现在常用的公钥长度是2048位,意味着待加密内容不能超过256个字节。 所以公钥加密(极端消耗CPU资源)目前只能用来作密钥交换或者内容签名,不适合用来做应用层传输内容的加解密。 3.3 身份认证 https协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证(验证查看这张证书是否是伪造的。也就是公钥是否是伪造的),并获取用于秘钥交换的非对称密钥(获取公钥)。 数字证书有两个作用: 1,身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2,分发公钥。每个数字证书都包含了注册者生成的公钥(验证确保是合法的,非伪造的公钥)。在SSL握手时会通过certificate消息传输给客户端。 申请一个受信任的数字证书通常有如下流程: 1,终端实体(可以是一个终端硬件或者网站)生成公私钥和证书请求。 2,RA(证书注册及审核机构)检查实体的合法性。如果个人或者小网站,这一步不是必须的。 3,CA(证书签发机构)签发证书,发送给申请者。 4,证书更新到repository(负责数字证书及CRL内容存储和分发),终端后续从repository更新证书,查询证书状态等。 数字证书验证: 申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手接收到证书后,如何确认这个证书就是CA签发的呢。怎样避免第三方伪造这个证书。答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)数字签名的制作和验证过程如下: 1,数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。 2,数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对待签名证书内容进行签名并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。 需要注意的是: 1)数字签名签发和校验使用的密钥对是CA自己的公私密钥,跟证书申请者提交的公钥没有关系。 2)数字签名的签发过程跟公钥加密的过程刚好相反,即是用私钥加密,公钥解密。 3)现在大的CA都会有证书链,证书链的好处一是安全,保持根CA的私钥离线使用。第二个好处是方便部署和撤销,即如果证书出现问题,只需要撤销相应级别的证书,根证书依然安全。 4)根CA证书都是自签名,即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的密钥对完成签名和验证的。 5)怎样获取根CA和多级CA的密钥对。它们是否可信。当然可信,因为这些厂商跟浏览器和操作系统都有合作,它们的公钥都默认装到了浏览器或者操作系统环境里。 3.4 数据完整性验证 数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。 由于MD5在实际应用中存在冲突的可能性比较大,所以尽量别采用MD5来验证内容一致性。SHA也不能使用SHA0和SHA1,中国山东大学的王小云教授在2005年就宣布破解了 SHA-1完整版算法。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。MAC算法涉及到很多复杂的数学问题,这里就不多讲细节了。 专题二--【实际抓包分析】 抓包结果: fiddler: wireshark: 可以看到,百度和我们公司一样,也采用以下策略: (1)对于高版本浏览器,如果支持 https,且加解密算法在TLS1.0 以上的,都将所有 http请求重定向到 https请求 (2)对于https请求,则不变。 【以下只解读https请求】 1、TCP三次握手 可以看到,我们访问的是 http://www.baidu.com/ , 在初次建立 三次握手的时候, 用户是去 连接 8080端口的(因为公司办公网做了代理,因此,我们实际和代理机做的三次握手,公司代理机再帮我们去连接百度服务器的80端口) 2、CONNECT 建立 由于公司办公网访问非腾讯域名,会做代理,因此,在进行https访问的时候,我们的电脑需要和公司代理机做 " CONNECT " 连接(关于 " CONNECT " 连接, 可以理解为虽然后续的https请求都是公司代理机和百度服务器进行公私钥连接和对称秘钥通信,但是,有了 " CONNECT " 连接之后,可以认为我们也在直接和百度服务器进行公私钥连接和对称秘钥通信。 ) fiddler抓包结果: CONNECT之后, 后面所有的通信过程,可以看做是我们的机器和百度服务器在直接通信 3、 client hello 整个 Secure Socket Layer只包含了: TLS1.2 Record Layer内容 (1)随机数 在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x2516b84b就是协调世界时间。在他后面有28字节的随机数( random_C ),在后面的过程中我们会用到这个随机数。 (2)SID(Session ID) 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 (3) 密文族(Cipher Suites): RFC2246中建议了很多中组合,一般写法是"密钥交换算法-对称加密算法-哈希算法,以“TLS_RSA_WITH_AES_256_CBC_SHA”为例: (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 浏览器支持的加密算法一般会比较多,而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。(比如综合安全性以及速度、性能等因素) (4) Server_name扩展:( 一般浏览器也支持 SNI(Server Name Indication)) 当我们去访问一个站点时,一定是先通过DNS解析出站点对应的ip地址,通过ip地址来访问站点,由于很多时候一个ip地址是给很多的站点公用,因此如果没有server_name这个字段,server是无法给与客户端相应的数字证书的,Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。 还有一个很好的功能: SNI(Server Name Indication)。这个的功能比较好,为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是,在连接到服务器建立SSL连接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的CA证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,据说新版的nginx也支持SNI。) 4、 服务器回复(包括 Server Hello, Certificate, Certificate Status) 服务器在收到client hello后,会回复三个数据包,下面分别看一下: 1)Server Hello 1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 (random_S)。 2、Seesion ID,服务端对于session ID一般会有三种选择 (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) : 1)恢复的session ID:我们之前在client hello里面已经提到,如果client hello里面的session ID在服务端有缓存,服务端会尝试恢复这个session; 2)新的session ID:这里又分两种情况,第一种是client hello里面的session ID是空值,此时服务端会给客户端一个新的session ID,第二种是client hello里面的session ID此服务器并没有找到对应的缓存,此时也会回一个新的session ID给客户端; 3)NULL:服务端不希望此session被恢复,因此session ID为空。 3、我们记得在client hello里面,客户端给出了21种加密族,而在我们所提供的21个加密族中,服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”。 (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 这就意味着服务端会使用ECDHE-RSA算法进行密钥交换,通过AES_128_GCM对称加密算法来加密数据,利用SHA256哈希算法来确保数据完整性。这是百度综合了安全、性能、访问速度等多方面后选取的加密组合。 2)Certificate 在前面的https原理研究中,我们知道为了安全的将公钥发给客户端,服务端会把公钥放入数字证书中并发给客户端(数字证书可以自签发,但是一般为了保证安全会有一个专门的CA机构签发),所以这个报文就是数字证书,4097 bytes就是证书的长度。 我们打开这个证书,可以看到证书的具体信息,这个具体信息通过抓包报文的方式不是太直观,可以在浏览器上直接看。 (点击 chrome 浏览器 左上方的 绿色 锁型按钮) 3)Server Hello Done 我们抓的包是将 Server Hello Done 和 server key exchage 合并的包: 4)客户端验证证书真伪性 客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作,合法性验证包括如下: 证书链的可信性trusted certificate path,方法如前文所述; 证书是否吊销revocation,有两类方式离线CRL与在线OCSP,不同的客户端行为会不同; 有效期expiry date,证书是否在有效时间范围; 域名domain,核查证书域名是否与当前的访问域名匹配,匹配规则后续分析; 5)秘钥交换 这个过程非常复杂,大概总结一下: (1)首先,其利用非对称加密实现身份认证和密钥协商,利用非对称加密,协商好加解密数据的 对称秘钥(外加CA认证,防止中间人窃取 对称秘钥) (2)然后,对称加密算法采用协商的密钥对数据加密,客户端和服务器利用 对称秘钥 进行通信; (3)最后,基于散列函数验证信息的完整性,确保通信数据不会被中间人恶意篡改。 此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数random_C和random_S与自己计算产生的Pre-master(由客户端和服务器的 pubkey生成的一串随机数),计算得到协商对称密钥; enc_key=Fuc(random_C, random_S, Pre-Master) 6)生成 session ticket 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 后续建立新的https会话,就可以利用 session ID 或者 session Tickets , 对称秘钥可以再次使用,从而免去了 https 公私钥交换、CA认证等等过程,极大地缩短 https 会话连接时间。 7) 利用对称秘钥传输数据 【半分钟后,再次访问百度】: 有这些大的不同: 由于服务器和浏览器缓存了 Session ID 和 Session Tickets,不需要再进行 公钥证书传递,CA认证,生成 对称秘钥等过程,直接利用半分钟前的 对称秘钥 加解密数据进行会话。 1)Client Hello 2)Server Hello
玄学酱 2019-12-02 01:27:08 0 浏览量 回答数 0

问题

负载均衡器配置lets encrypt SSL证书过程。

由于Let's encrypt 提供了免费的SSL证书,好多朋友都开始使用,关于Let's encrypt 证书的安装不再赘述,需要了解的朋友可以自己搜下。Let's enc...
rickcoder 2019-12-01 21:59:09 6369 浏览量 回答数 0

问题

无忧宝:国内首家HTTPS链接安全解决方案

无忧宝:你的“KEY”永远是你的 在实现HTTPS认证的过程中,存储在服务器端的私钥的安全性是所有企业最为重视的,但使用过CDN或云安全等“中间代理”业务的企业用户在使用这些...
龙冰风 2019-12-01 21:11:32 7174 浏览量 回答数 1

回答

HTTP协议接入解决方案 针对HTTP协议接入情况的解决方案相对简单。一般来说,第三方库都提供相应接口支持修改HTTP请求Header的HOST信息,只需要开发人员将HTTP Header的HOST改为对应的域名即可。 HTTPS协议接入解决方案 Android系统解决方案 证书HOST校验问题 终端在SSL握手过程中会校验当前请求URL的HOST是否在服务端证书的可选域名列表中。例如,假设原本需要请求的URL为https://a.b.com,使用服务器IP直连后实际请求的URL变成https://1.2.3.4。 由于请求的HOST被替换成服务器IP,底层在进行证书的HOST校验时失败,最终导致请求失败。 一般来说,系统都提供相应接口,允许终端设置证书HOST校验实现。因此,利用该接口,将底层默认实现中取终端传入URL的HOST信息(即服务器IP)替换回对应的域名即可解决证书HOST校验问题。 JAVA代码示例: HostnameVerifier hnv = new HostnameVerifier() { @Override public boolean verify(String hostname, SSLSession session) { //示例 if("yourhostname".equals(hostname)){ return true; } else { HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier(); return hv.verify(hostname, session); } } }; HttpsURLConnection.setDefaultHostnameVerifier(hnv); SNI问题 由于不通过域名而是通过IP直接进行请求。这种情况下,服务端获取到的域名信息为服务器IP,因此请求报文内容中的Host信息为IP,而服务端配置了多个域名,导致无法正确选择域名。 一般来说,系统都提供相应接口,允许终端传入自定义SSLSocketFactory,SSLSocketFactory是用来创建SSLSocket的工厂,SSLSocket是Socket协议的拓展,具有SSL握手功能,且系统提供解决SNI问题的实现类SSLCertificateSocketFactory。因此,利用该方法解决SNI问题。 JAVA代码示例 conn.setSSLSocketFactory(new SSLSocketFactory(){ @Override public Socket createSocket(Socket s, String host, int port,boolean autoClose) throws IOException{ SSLCertificateSocketFactory sslSocketFactory = (SSLCertificateSocketFactory)SSLCertificateSocketFactory.getDefault(0); SSLSocket sslSocket = (SSLSocket)sslSocketFactory.createSocket(s, realHost,port,autoClose); sslSocket.setEnableProtocols(sslSocket.getSupportedProtocols()); sslSocketFactory.setHostname(sslSocket, realHost); return sslSocket; } }); iOS系统解决方案 证书HOST校验问题 在NSURLSession的证书校验代理方法URLSession:didReceiveChallenge:completionHandler中增加前置处理,将待验证的 domain由原本的服务器IP转换为其对应的域名,然后再进行后续处理。 Objective-C代码示例 - (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler { NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling; NSURLCredential *credential = nil; // 证书验证前置处理 NSString *domain = challenge.protectionSpace.host; // 获取当前请求的 host(域名或者 IP),假设此时为:1.2.3.4 NSString *testHostIP = self.tempDNS[self.testHost]; // 此时服务端返回的证书里的 CN 字段(即证书颁发的域名)与上述 host 可能不一致, // 因为上述 host 在发请求前已经被替换为 IP,所以校验证书时会发现域名不一致而无法通过,导致请求被取消 // 所以,需要在校验证书前进行替换处理。 if ([domain isEqualToString:testHostIP]) { domain = self.testHost; // 替换为对应域名:a.b.com } // 以下逻辑与 AFNetworking -> AFURLSessionManager.m 里的代码一致 if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) { if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:domain]) { // 上述evaluateServerTrust:forDomain方法用于验证 SSL 握手过程中服务端返回的证书是否可信任, // 以及请求的 URL 中的域名与证书里声明的的 CN 字段是否一致。 credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; if (credential) { disposition = NSURLSessionAuthChallengeUseCredential; } else { disposition = NSURLSessionAuthChallengePerformDefaultHandling; } } else { disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge; } } else { disposition = NSURLSessionAuthChallengePerformDefaultHandling; } if (completionHandler) { completionHandler(disposition, credential); } } 其中,关于evaluateServerTrust:forDomain方法的定义,可参考 AFNetworking中AFSecurityPolicy模块的代码,Objective-C代码示例如下所示。 - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain { // 创建证书校验策略 NSMutableArray *policies = [NSMutableArray array]; if (domain) { // 需要验证请求的域名与证书中声明的 CN 字段是否一致 [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)]; } else { [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()]; } // 绑定校验策略到服务端返回的证书(serverTrust) SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies); // 评估当前 serverTrust 是否可信任, // 根据苹果官方文档 https://developer.apple.com/library/ios/technotes/tn2232/_index.html // 当 result 为 kSecTrustResultUnspecified 或 kSecTrustResultProceed 的情况下,serverTrust 可以被验证通过。 SecTrustResultType result; SecTrustEvaluate(serverTrust, &result); return (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed); } SNI问题 通过使用基于原生支持设置SNI字段的更底层的库(libcurl),解决SNI问题。 Objective-C代码示例 //{HTTPS域名}:443:{IP地址} NSString *curlHost = ...; _hosts_list = curl_slist_append(_hosts_list, curlHost.UTF8String); curl_easy_setopt(_curl, CURLOPT_RESOLVE, _hosts_list); 其中,curlHost形(如{HTTPS域名}:443:{IP地址},_hosts_list)是结构体类型hosts_list,可设置多个IP与Host域名间的映射关系。通过在curl_easy_setopt方法中传入CURLOPT_RESOLVE,将该映射设置到HTTPS请求中,即可达到设置SNI的目的
保持可爱mmm 2020-04-05 21:45:40 0 浏览量 回答数 0

问题

我在阿里云服务器配置全过程搭建 WordPress 站点

本人小白一枚  今天休息木有上班难得有时间分享下自己的建站过程  希望和大家一起进步 我觉得出现问题还是应该学会自己找问题  而不是无脑找版主 最起码也要自己先排查上百度或者谷歌都可以的 实在不行可以来论坛求助       大家可以百度...
System_Gov 2019-12-01 21:59:38 3535 浏览量 回答数 1

回答

传输安全只有https 客户端hash密码只是表明作为网站拥有者不想也不会记录原始密码是什么 上面那个链接我回复过, 不用ssl就算加密也没用, 任意节点伪造response,加上一段js就可以实现form submit的全局委托, 直接把你表单的明文数据转发到第三方上, 再加密提交也没用 ######服务端添加一个文件MD5验证过程,客户端用AJAX配合验证本页面是否在传输过程中有被改动的痕迹~!######回复 @somecold : 第一个问题我觉得花大力气还堵不死没什么必要, 普通geotrust, comodo的256bit加密的收费ssl也就单域几十块一年, 相对来说彻底多了; 第二个问题, 没有任何办法能防止非正常的web方式构造http请求。######这么说确实没法在传输层保证,不过用这种方式应该可以杜绝大部分小黑客吧? 另外请教下有办法防止重构http请求吗?就是限定只能通过网页进行登录###### 之前我发帖讨论过,可以参考一下 http://www.oschina.net/question/42741_51307 ###### 恩我看完了,leo108 你的想法就是说在登录的时候先去服务器获取一个token(token只能用一次)。 然后拿 token 和 MD5(明文密码) 进行MD5加密后传输(数据库存 MD5(明文密码)。 这样看来针对登录这部分应该能有效防止我说的情况。 但是我现在有另外一个想法 是不是可以有办法防止 即使得到密串,也没法重构HTTP请求,就是只能通过打开网页输入用户名和密码来登录,没办法通过组装一个url或者编程实现登录? ######回复 @七液 : 不是很明白,什么也可以clone?网上没搜到http clone嗅探相关资料,麻烦说详细点。######这个也可以clone,看一下http clone嗅探的相关资料就知道了######sha1解开的成本太高 ######解开的成本高######随机验证码+hash目前最合适的方法用完后一次性抛弃即可。rsa还需要和服务器通讯这就和https一样了######明白了,你说的是加sha的方式成本太高吧,那有什么好办法没呢######蟋蟀哥哥是说oschina采用的sha1成本太高,还是说我说的问题可以采用sha1但是成本太高?###### https://mail.qq.com/  (本人亲测) 在IE登录QQ邮箱,Wireshark抓取Cookie,停止Wireshark,断网重拨获取新的IP,在Firefox注入Cookie,成功登录QQ邮箱. QQ邮箱难道连IP都不认证? 能控制网关第一手就能拿到Cookie,先不说破解用户密码. 不过普通人怎么可能控制公网上的网关? 路由局域网内用arpspoof欺骗,开IP路由转发还有可能办成网关过滤用户信息. 除非能入侵公网上的网关,否则都不太现实. ######一直觉得腾讯强在用户体验,技术在它们的价值观应该不是第一位的。出现这种情况也正常吧###### 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? ###### 引用来自“熊猫与猫无关”的答案 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? 安全应能达到,但是这样与ssl相比,有优势吗 ###### 引用来自“somecold”的答案 引用来自“熊猫与猫无关”的答案 我在想用java/flash做成控件配合des之类的加密的方法在http上传输安全不? 安全应能达到,但是这样与ssl相比,有优势吗 证书年年需要续费这个算不算SSL的劣势 (我是纯属来捣乱的.....) ###### 我想可以这么做: 1. md5(pwd)做为key去加密(用户的信息+ip+有效时间范围),加密算法,可以是tea 2.服务器用md5(pwd)做为key去解密,之后校验用户的信息,ip和有效时间范围。 3.服务器存储的就是md5(pwd)
kun坤 2020-06-08 11:22:51 0 浏览量 回答数 0

回答

首先什么是HTTP协议? http协议是超文本传输协议,位于tcp/ip四层模型中的应用层;通过请求/响应的方式在客户端和服务器之间进行通信;但是缺少安全性,http协议信息传输是通过明文的方式传输,不做任何加密,相当于在网络上裸奔;容易被中间人恶意篡改,这种行为叫做中间人攻击;加密通信: 为了安全性,双方可以使用对称加密的方式key进行信息交流,但是这种方式对称加密秘钥也会被拦截,也不够安全,进而还是存在被中间人攻击风险; 于是人们又想出来另外一种方式,使用非对称加密的方式;使用公钥/私钥加解密;通信方A发起通信并携带自己的公钥,接收方B通过公钥来加密对称秘钥;然后发送给发起方A;A通过私钥解密;双发接下来通过对称秘钥来进行加密通信;但是这种方式还是会存在一种安全性;中间人虽然不知道发起方A的私钥,但是可以做到偷天换日,将拦截发起方的公钥key;并将自己生成的一对公/私钥的公钥发送给B;接收方B并不知道公钥已经被偷偷换过;按照之前的流程,B通过公钥加密自己生成的对称加密秘钥key2;发送给A; 这次通信再次被中间人拦截,尽管后面的通信,两者还是用key2通信,但是中间人已经掌握了Key2;可以进行轻松的加解密;还是存在被中间人攻击风险; 解决困境:权威的证书颁发机构CA来解决; 制作证书:作为服务端的A,首先把自己的公钥key1发给证书颁发机构,向证书颁发机构进行申请证书;证书颁发机构有一套自己的公私钥,CA通过自己的私钥来加密key1,并且通过服务端网址等信息生成一个证书签名,证书签名同样使用机构的私钥进行加密;制作完成后,机构将证书发给A;校验证书真伪:当B向服务端A发起请求通信的时候,A不再直接返回自己的公钥,而是返回一个证书; 说明:各大浏览器和操作系统已经维护了所有的权威证书机构的名称和公钥。B只需要知道是哪个权威机构发的证书,使用对应的机构公钥,就可以解密出证书签名;接下来,B使用同样的规则,生成自己的证书签名,如果两个签名是一致的,说明证书是有效的; 签名验证成功后,B就可以再次利用机构的公钥,解密出A的公钥key1;接下来的操作,就是和之前一样的流程了;中间人是否会拦截发送假证书到B呢? 因为证书的签名是由服务器端网址等信息生成的,并且通过第三方机构的私钥加密中间人无法篡改; 所以最关键的问题是证书签名的真伪; https主要的思想是在http基础上增加了ssl安全层,即以上认证过程;:
九旬 2020-05-24 11:49:04 0 浏览量 回答数 0

问题

在Debian 8系统中安装NodeBB

感谢“嗯吱呃”的支持。 环境:2GB内存云服务器, debian 8 64位 目的:安装1.5.x版本的NodeBB,通过 https://test.anqun.org 访问 过程...
dongshan8 2019-12-01 21:38:02 4265 浏览量 回答数 1

问题

mail.aliyun.com邮箱android手机客户端设置方法

云邮箱配置说明——安卓(android)手机 重要提醒:由于mail.aliyun.com邮箱通过客户端使用(imap或pop3协议)接收邮件必需“启用pop...
jack_yang 2019-12-01 21:13:06 109380 浏览量 回答数 8

回答

生成加密密钥的密钥库数据库。 以 root 用户身份,将基本 acsls 环境变量指定为源。 . /var/tmp/acsls/.acsls_env 定义密钥库参数: keyPath=$installDir/Oracle/Middleware/wlserver_10.3/server/lib keyStore=acslsKeyStore.jks myPw= 生成加密用的公钥/私钥对和数字证书。将其放置在密钥库中。 keytool -genkeypair -alias selfsigned -keystore $keyPath/$keyStore -keyalg RSA -storepass $myPw -validity 7300 -keysize 2048 此过程会生成一个有效期为 7300 天(20 年)的证书,其加密密钥的长度为 2048 位。 keytool 会提示您回答以下问题。您给出的回答将写入到证书中,每次要求 ACSLS GUI 用户确认 HTTPS 连接的真实性时,都会在远程浏览器上显示该证书。 What is your first and last name? [Unknown]: ACSLS Library Server What is the name of your organizational unit? [Unknown]: Tape Library Services What is the name of your organization? [Unknown]: Our Organization What is the name of your City or Locality? [Unknown]: Our Town What is the name of your State or Province? [Unknown]: Our Province? What is the two-letter country code for this unit? [Unknown]: CA 提示输入密码时,只需按回车键即可使用在步骤 1-b 中设置的 $myPw 值。 该工具将汇总您提交的参数并请您确认 (y/n) 参数是否正确。 配置 WebLogic 使用新生成的密钥库。 以 "acsls_admin" 身份使用 acsls_admin 密码登录 WebLogic 控制台。 http://acsls_server:7001/console 在控制台主页左上角,单击 Lock & Edit(锁定并编辑)按钮。 在 Lock & Edit"(锁定并编辑)按钮正下方,会看到 "Domain Structure"(域结构)。选择 "AcslsDomain" 下的 Environment(环境)。 在 "Summary of Environment"(环境概要)框中,单击 Servers(服务器)。 在 "Summary of Servers"(服务器概要)中,选择 "Configuration"(配置)选项卡,然后单击 "Servers"(服务器)表中的 AdminServer(admin)。 在 "Settings for AdminServer"(AdminServer 的设置)框中,选择 Keystores(密钥库)选项卡。 在 "Keystores"(密钥库)项中,单击 Change(更改)按钮,然后选择 Custom Identity and Custom Trust(定制标识和定制信任)。单击 Save(保存)。 在 "Custom Identity Keystore"(定制标识密钥库)文本框中,使用在上面的步骤 1-b 中定义的 $keyPath/$keyStore 值输入 keyStore.jks 文件的路径。将 "Custom Identity Keystore Type"(定制身份密钥库类型)文本框留空。 在 "Custom Identity Keystore Passphrase"(定制标识密钥库密码短语)文本框中,输入在上面的步骤 1-b 中定义为 $myPw 的密码。 在接下来的文本框中确认定制标识密钥库密码短语。 在 "Custom Trust Keystore"(定制信任密钥库)文本框中,使用在步骤 2-h 中输入的 $keyPath/$keyStore 值输入 acslsKeyStore.jks 文件的完整路径。将 "Custom Trust Keystore Type"(定制信任密钥库类型)文本框留空。 在 "Custom Trust Keystore Passphrase"(定制信任密钥库密码短语)文本框中,输入在步骤 2-i 中定义的相同密码。在余下的文本框中输入该密码进行确认。 单击 Save(保存)。查看页面顶部的验证消息。 选择 "Settings for Administrator"(管理员的设置)框中的 SSL 选项卡。 在 "Identity and Trust Locations"(标识和信任位置)中,确保选中 "Keystores"(密钥库)。如有必要,单击 Change(更改)更正设置。 在 "Private Key Alias"(私有密钥别名)文本框中,输入 selfsigned。 在 "Private Key Passphrase"(私有密钥密码短语)文本框中,输入在上面的步骤 1-b 中定义为 $myPw 的相同密码。在余下的文本框中使用相同的密码进行确认。 单击 Save(保存)。页面顶部应显示绿色的验证消息。 单击页面左上角的 Activate Changes(激活更改)按钮。查看页面顶部的验证消息。
游客2q7uranxketok 2021-02-16 01:48:04 0 浏览量 回答数 0

回答

云端接入域名和端口号是什么? 域名:js ${YourProductKey}.iot-as-mqtt.${YourRegionId}.aliyuncs.com 。 其中,${YourProductKey}请替换为您的产品ProductKey;${YourRegionId}请参见地域和可用区,替换为您在物联网平台创建产品时选择的地域代码。 端口: 1883。 使用MQTT协议连接,不同的设备可以使用相同的clientID连接服务器吗? clientID需为全局唯一。如果不同的设备使用相同的clientID同时连接物联网平台,那么先连接的那个设备会被强制断开。 如何开启域名直连? MQTT连接有两种方式。 认证后再连接:首先使用HTTPS连接到```js js iot-auth.cn-shanghai.aliyuncs.com:443 获取认证cert后,再使用MQTT连接到 ```js js/public.iot-as-mqtt.cn-shanghai.aliyuncs.com/1883。 认证连接必须使用TLS加密进行认证。 域名直连:连接域名:js ${productKey}.iot-as-mqtt.cn-shanghai.aliyuncs.com:1883 。 域名直连减少了HTTPS获取证书cert的过程。 资源受限的设备推荐使用域名直连。一些特殊增值服务,例如设备级别的引流,则推荐先HTTPS发送授权后再连接MQTT。在make.setting中设置js FEATURE_MQTT_DIRECT=y , 然后执行js make reconfig 即 可设置为先认证后再MQTT连接。 MQTT协议版本是多少? 在MQTT connect packet中设置MQTT的版本。目前SDK(V2.02)使用MQTT 3.1.1 。 可以修改SDK代码中js src\mqtt\mqtt_client.h IOTX_MC_MQTT_VERSION 的 值,来修改支持的版本。3:3.1版;4:3.1.1版。 MQTT进行设备认证时,server返回“400”错误 认证返回400错误,表示鉴权认证失败。请检查设备证书信息ProductKey、DeviceName和DeviceSecret是否正确。 C语言SDK中MQTT是否支持iOS接入? C语言SDK可以移植到任何能够支持C语言的系统上。如果是iOS系统建议寻找开源的Object-C实现。 目前mqtt-example设备上线后会立刻下线,请问如何修改mqtt-example让设备一直处于上线状态? mqtt-example程序发送一次消息后会自动退出,可以尝试以下任意一种方式实现长期在线。 执行mqtt-example时,使用命令行js ./mqtt-example loop , 设备会保持长期在线。修改demo代码。example 的代码在最后会调用IOT_MQTT_Destroy,设备最后会变成离线状态,所以可以修改代码,去掉IOT_MQTT_Unregister 和IOT_MQTT_Destroy。 while(1) { IOT_MQTT_Yield(pclient, 200); HAL_SleepMs(100); } 心跳的时间间隔如何设置? 在IOT_MQTT_Construct里面可以设置keepalive_interval_ms的取值。物联网平台使用这个值来作为心跳间隔时间。keepalive_interval_ms的取值范围是60000~300000。 设备端的重连机制是什么? 设备端会在keepalive_interval_ms时间间隔发送ping request,然后等待ping response。 如果设备端在keepalive_interval_ms时间内无法收到ping response,或是在进行send以及recv时发生错误,平台就认为此时网络断开,而需要进行重连。 重连机制是平台内部触发,无需使用者接入。重连时,会重新进行认证。如果认证成功就会开始再次进行MQTT connect。重连会一直持续直到再次连接成功。 云端如何侦测到设备离线? 云端会根据MQTT CONNECT packet里面keepalive的设置,等待ping request。如果在指定时间内没有收到ping request,则认为设备离线。 云端可以接受的最大时延是5秒。 设备端SDK是否支持MQTT和CCP协议的断线重连? 支持。测试场景描述:开发板通过WiFi连接上路由器后,把网线拔掉,MQTT和CCP协议都会自动尝试和server重新建立连接。尝试时间间隔是1s、2s、4s、8s、…,最大间隔时间默认是60s,也就是说断网后超过60s时间仍未连接成功,之后会每隔60s尝试和server重连。您可以设置最大间隔时间。 发布(Publish QoS1)数据时,偶尔会出现MQTT_PUSH_TO_LIST_ERROR(-42),如何解决? 需要等待ACK的packet都会存放起来,等待ACK。存放量有上限,当需要等待的packet太多到达上限时,就会触发js MQTT_PUSH_TO_LIST_ERROR(-42) error 。 出现错误可能是因为当前网络状态不好,或者是发送的频率过高。如果排除上述两个问题,当前的发送的频率是预期的,那么可以适当的调整IOTX_MC_REPUB_NUM_MAX、 IOTX_MC_SUB_REQUEST_NUM_MAX和IOTX_MC_SUB_NUM_MAX的大小。 如果业务允许,也可以把publish的QoS调整成0。 IOT_MQTT_Yield的作用是什么? IOT_MQTT_Yield的作用是尝试接收数据。因此在需要接收数据时,例如subscribe 和 unsubscribe之后,publish QoS1 消息之后,或是希望收到publish 数据时,都需要主动调用该函数。 IOT_MQTT_Yield参数timeout的意义是什么? IOT_MQTT_Yield会尝试接收数据,直到timeout时间到后才会退出。 IOT_MQTT_Yield与HAL_SleepMs的区别 IOT_MQTT_Yield与HAL_SleepMs都是阻塞一段时间,但是IOT_MQTT_Yield实质是去读取数据,而HAL_SleepMs则是系统什么也不做,等待timeout。 如何循环接收消息? 需要循环调用IOT_MQTT_Yield ,函数内自动维持心跳和接收数据。 订阅了多个Topic,调用一次IOT_MQTT_Yield,能接收到多个Topic的消息吗? 首先需要确定Topic的权限,是不是同时满足发布和订阅。如果是,调用一次IOT_MQTT_Yield,可以接收到多个packet。 MQTT连接方式,只能通过不停地调用IOT_MQTT_Yield来轮询获取数据吗? 如果使用的TCPIP协议栈,可以实现TCP主动通知上层有数据到达,可以改动实现事件触发的方式来触发IOT_MQTT_Yield。但是改动比较大,所以还请自行评估是否需要修改。 修改流程是: 调整utils_net.c里面socket的API,变成可以由TCP数据到达时回调的API。 当TCP主动通知上层有数据到达时,通知到MQTT服务器。让MQTT服务器内部执行IOT_MQTT_Yield,这样就可以不需要外部调用IOT_MQTT_Yield来读取数据。 如果TCP无法做到主动上报数据,但OS支持多线程,也可以在MQTT-example里面再起一个thread,在这个thread里面以下代码用于接收数据。收到数据时,触发主线程进行数据处理,而主线程大部分时间可以用于处理其他逻辑。 while(1) { IOT_MQTT_Yiled(pclient, 200); HAL_SleepMs(200); } 如果使用的系统也不支持多线程,就只能把IOT_MQTT_Yield的timeout时间间隔减小,然后提高调用的频率,在每次调用的时间间隔内执行其他操作,从而做到尽量减少对其他操作的阻塞。 是否支持QoS 2? 不支持。 什么情况下会发生订阅超时(subscribe timeout)? 在2倍request_timeout_ms时间内,系统未接收到SUBACK packet时,会触发订阅超时,并通过event_handle函数发送超时通知。 请在subscribe之后,立刻执行IOT_MQTT_Yield尝试读取SUBACK,请勿使用HAL_SleepMs。 subcribe时,返回IOTX_MQTT_EVENT_SUBCRIBE_NACK 请检查Topic的操作权限是否为订阅。 如果发布报错“no authorization”,请确认是否为发布权限。 MQTT 发布的消息体大小限制 MQTT的协议包受限于IOT_MQTT_Construct里参数的write_buf和read_buf的大小。 MQTT协议包大小不能超过256 KB。超过大小限制的消息会被丢弃。 MQTT协议pub消息payload格式是怎么样的? 物联网平台没有制定pub消息payload的具体字段有那些。您根据应用场景制定自己的协议,然后以JSON格式放到pub消息载体里面传给服务端。 ota_mqtt升级的时候报错“mqtt read buffer is too short” MQTT设置的buffer过小,即mqtt_param的pread_buf和pwrite_buf申请过小造成的。可以根据实际需要修改OTA_MQTT_MSGLEN的大小。 是否可以使用MQTT直连的方式进行OTA升级? OTA升级时,必须使用HTTPS进行固件下载。MQTT只接收版本更新指令,与MQTT的连接方式无关。阿里云不支持HTTP下载固件,因此如果设备没有SSL通信的能力,则不能使用OTA服务。 打开MQTT over TLS,运行时提示MQTT创建失败,返回错误码0x2700 如果关闭MQTT over TLS则可以成功地订阅和发布信息;打开MQTT over TLS时,建连失败。首先确认mbedtls是否做了修改,这是用于传输层和应用层之间加密的功能,不能随意更改。mbedtls没有修改,则考虑系统时间是否正确,系统时间不对也会导致证书校验失败。 进行mqtt连接的时候,是否需要root.crt证书验证? 若使用TLS进行MQTT接入,需要下载根证书。 若使用物联网平台提供的demo进行开发,无需再下载根证书,demo中已自带证书。 物联网平台支持哪些QoS Level? 在MQTT协议和CCP协议下,阿里云物联网平台支持的QoS Level都包括0和1。
剑曼红尘 2020-03-05 12:51:20 0 浏览量 回答数 0

回答

最近,我问了我一个朋友他对"智能合约"的看法。他是一名开发者,我想他可能会有一些有趣的见解。令我惊讶的是,他并不知道智能合约是什么。我感到特别惊讶,因为我们讨论了一年多的加密货币、美国证券交易委员会(SEC)以及许多与区块链相关的其他事情。在计算机领域深耕的人怎么可能会不知道智能合约是什么? 事实上,相比区块链行业的其它概念,智能合约可能会更令加密货币爱好者们感到困惑。因此,要解释这个概念并不容易,尤其是向那些刚刚理解区块链是什么的人解释更不容易。因此,这一概念依旧十分神秘。希望这篇文章可以清楚地解释好这一概念。 什么是智能合约? 想象一下,如果你需要卖掉一栋房子,那么这将是一个复杂而艰巨的过程,不但需要处理大量的文书工作、与不同公司和人员进行沟通,而且还得冒着各类高风险。这就是为什么绝大多数房屋卖家决定寻找房地产经纪,来帮助处理所有文书工作、推销房产,并在协商开始时充当中介、监督交易直至交易结束。 此外,该经纪机构还提供委托付款服务,这在此类交易中尤其有用,因为此类交易所涉及的金额通常很大,你将无法完全信任将要与你进行交易的人。然而,在交易成功完成之后,卖方和买方的经纪机构将获得房产卖出价格的7%作为佣金。这对卖方来说是相当大的经济损失。 在这种情况下,智能合约就可以真正派上用场,可以有效地变革整个行业,同时也减少了所需流程。或许最重要的是,智能合约能解决信任问题。智能合约基于"If-Then"("如果-那么")原则,这意味着只有商定的金额被发送到系统时,房屋的所有权才会被转移给买方。 智能合约也可以作为委托付款服务,这意味着资金和所有权都将被存储在系统中,并在同一时间被分发给各参与方。此外,该交易被数百人见证和验证,因此保证了交付是无差错的。由于双方之间不再存在信任问题,因此也不再需要中介。所有房地产经纪能做的都可以预先编程为智能合约,这同时也为卖方和买方节省了大量资金。 这只是智能合约潜在用途的一个例子。智能合约能够帮助货币、财产和其他任何有价值的东西的交易,确保交易过程完全透明,其不但无需中介服务及其附带费用,还消除了双方之间的信任问题。特定智能合约的代码包括了各方商定的所有条款和条件,有关交易本身的信息则被记录在区块链中,即去中心化的分布式公共账本。 智能合约是如何运作的? 简而言之,智能合约很像自动售货机。你只需将所需数量的加密货币放入智能合约中,而你所交易的,房屋所有权等就会自动存入你的账户。所有的规则和处罚不仅在智能合约预先定义了,而且也由智能合约强制执行。 相互依存 智能合约可以独立运行,但也可以与任何其他智能合约一起运行。当它们彼此依赖时,它们可以以某种方式被设置。例如,成功完成一个特定的智能合约可以触发另一个智能合约的启动,依此类推。从理论上讲,整个系统和组织完全可以依靠智能合约运行。某种程度上,这已经在各种加密货币系统中实现了,在这些系统中,所有的规则都是预先定义好的,因此,网络本身可以独立自主地运行。 智能合约的对象 从本质上讲,每个智能合约都有三个不可或缺的部分(也称为对象)。第一个对象是签署方(两方或多方使用智能合约,同意或不同意使用数字签名的协议条款)。 第二个对象是合约的主题。它只能是智能合约环境中存在的对象。或者,智能合约必须可以不受阻碍地直接访问该对象。尽管智能合约早在1996年就被讨论过,但正是这一特定对象阻碍了智能合约的发展。这个问题直到2009年出现第一个加密货币后才得到部分解决。 最后,任何智能合约都必须包含特定条款。这些条款都需要使用数学方法及适用于特定智能合约环境的编程语言进行完整描述。这些条款包括了所有参与方的预期要求以及与所述条款相关的所有规则、奖励与惩罚。 环境 为了使智能合约能够正常运行,智能合约必须在特定的合适环境中运行。首先,智能合约环境需要支持公钥加密,这使得用户能够使用其独特的、专门生成的加密代码来签署交易。这正是绝大多数现有加密货币所用的系统。 其次,它们需要一个开源和去中心化的数据库,合同各方都可以彼此完全信任,并且履约流程完全自动化。此外,为了实现智能合约,整个环境必须自身是去中心化的。区块链,尤其是以太坊区块链,是运行智能合约的理想环境。 最后,智能合约所使用的数据,来源必须完全可靠。这就需要使用根SSL安全证书、HTTPS和其他已经广泛被使用并在大多数现代软件上自动实现的安全连接协议。 智能合约带来了什么? 自治 智能合约消除了对第三方中介的需求,基本上使你能够完全控制合约。 信任 任何人都无法窃取或弄丢你的文件,因为它们已被加密并安全地存储在一个安全的公开账本中。此外,你不必信任你正与之交易的人,也不必指望他们会信任你,因为公正的智能合约系统基本上解决了信任问题。 节约 由于使用了智能合约,你就不需要公证人、房地产经纪人、顾问及其他众多中介机构的援助。这样也就与他们的服务相关的高额费用无关了。 安全 如果智能合约正确执行,它将是极难破解的。此外,智能合约的完美环境受到复杂的加密保护,它可确保你文档的安全。 高效 通过使用智能合约,你将节省通常浪费在手动处理大量纸质文档并将其发送或运送到特定地点等的大量时间。 谁发明了智能合约?谁在使用智能合约? 1996年,计算机科学家和密码学家Nick Szabo首次提出了智能合约。几年后,Szabo重新定义了这一概念并发布了几篇相关文章,他阐述了通过在互联网上陌生人之间设计的电子商务协议来建立合同法相关商业实践的概念。 然而,智能合约的概念直到2009年才被实现,当时第一个加密货币比特币连同它的区块链一齐出现,后者则最终为智能合约提供了合适的环境。有趣的是,Nick Szabo在1998年设计了一种称为比特黄金(Bit Gold)的去中心化数字货币。虽然它没有被实现,但它已经具备了10年后比特币可吹嘘的许多功能。 如今,智能合约主要与加密货币有关。而且,可以公平地说,它们彼此互相依赖,因为去中心化的加密货币协议本质上是具有去中心化安全性的加密智能合约。智能合约现在被广泛应用于大多数加密货币网络中,并且其也是以太坊最杰出和最被大肆宣传的特点之一。 你知道什么是智能合约吗?币圈聚贤庄来跟你分析一下! 智能合约用例 虽然世界各国政府、金融监管机构和银行对加密货币的立场从极其谨慎变成谨慎接受,但加密货币背后的技术,区块链和智能合约,已被广泛认为是具有革命性的,并且正在各个层面实现这些技术。 例如,美国信托与清算公司(DTCC)和四大银行(美银美林、花旗、瑞士信贷和摩根大通)成功地使用Axoni开发的智能合约交易区块链信用违约掉期。智能合约使用了诸如个人交易详情及相应风险指标之类的信息,据一篇新闻稿称,这提高了合作伙伴和监管机构信息处理上的透明度。 类似的事情到处都在发生。由61家日本银行和韩国银行组成的财团一直在测试Ripple的区块链和智能合约,以实现两国之间的跨境资金转移。这一新系统将于今年推出。就连俄罗斯政府控制的俄罗斯联邦储蓄银行(Sberbank),都在俄罗斯这样一个众所周知的反加密货币国家测试以太坊区块链及其智能合约。 测试结果是俄罗斯联邦储蓄银行加入了以太坊企业联盟(EEA),这是一个由100多家企业组成的联盟,其中包括了思科、英国石油、荷兰国际集团(ING)、微软等顶级企业。该联盟旨在开发一种面向商业用途的区块链,用它可以开发和实现这些公司所需的智能合约。 由于智能合约是与加密货币相关联的,因此它们仍主要被应用到金融领域和银行业。尽管如此,世界各国政府都可以使用这项技术,使得投票系统更加便利而透明。供应链可以使用它来监控货物并自动执行所涉及的所有任务和支付。房地产、医疗保健、税收、保险及其他众多行业都可以受益于智能合约的使用。 智能合约的缺点 智能合约仍是一项未成熟的技术,仍然容易出现问题。例如,构成合约的代码必须是完美无漏洞的。它也会出现错误,有时候,这些错误会被欺诈者所利用。就像DAO被黑事件一样,把资金存放在代码有漏洞的智能合约中资金就可能被盗走。 此外,这项新奇的技术也带来了很多问题。政府将如何决定监管此类合约?他们将如何进行征税?如果合约无法访问其主题,或者发生了任何意外情况,将会是什么情况?这是在传统合约签订时可能发生的,传统合同可以在法庭上被撤销,但区块链要求智能合约无论如何都要按照"代码即法律"的规则去执行。 然而,大多数这些问题的存在纯粹是因为智能合约仍未是一项成熟的技术。但这项技术肯定会随着时间的推移而逐渐完善。毫无疑问,智能合约将会成为我们社会不可或缺的一部分。
问问小秘 2019-12-02 03:07:11 0 浏览量 回答数 0

问题

钉钉开放平台“常见问题常见问题常见问题“重要请关注

本贴提供了JSAPI、服务端API、isv接入及常见的建议问题等,本帖问题及分类随大家反馈及时更新,请关注~ 为提高解决问题速度,请您在反馈问题时,参照以下模板提供信息 服务端...
竹梅 2019-12-01 21:57:52 74299 浏览量 回答数 28

回答

除了自身的硬件条件外,还需要对你的服务器做出安全设置控制,用2003系统来说下具体安全设置如下: 1、服务器安全设置之--硬盘权限篇 这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 主要权限部分: Administrators 完全控制 无 该文件夹,子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制 只有子文件夹及文件 <不是继承的> SYSTEM 完全控制 该文件夹,子文件夹及文件 <不是继承的> 其他权限部分: 如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用 硬盘设置需要根据你的实际需要来设置权限! 2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) *除非特殊情况非开不可,下列系统服务要停止并禁用: 1、Alerter 2、Application Layer Gateway Service 3、 Background Intelligent Transfer Service 4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同。如果你装有虚拟主机系统,设置当然也不一样!更详细设置可以根据自己的需要找更详细的参考资料。 3、服务器安全设置之--组件安全设置篇 (非常重要!!!) A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统) win2000 regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll win2003 regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\system32\shell32.dll B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改 【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写Shell.application→查找下一个】 用这个方法能找到两个注册表项: {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。 第二步:比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohack 第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了。 WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。 一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 改名为其它的名字,如:改为 FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll 如何禁止Guest用户使用scrrun.dll来防止调用此组件? 使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests 二、禁止使用WScript.Shell组件 WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 三、禁止使用Shell.Application组件 Shell.Application可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 禁止Guest用户使用shell32.dll来防止调用此组件。 2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests 注:操作均需要重新启动WEB服务后才会生效。 四、调用Cmd.exe 禁用Guests组用户调用cmd.exe 2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests 通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。 C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码) 先停掉Serv-U服务 用Ultraedit打开ServUDaemon.exe 查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P 修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 4、服务器安全设置之--IIS用户设置方法 不同站点使用不用的IIS用户。另外权限的设置要细致。 5、服务器安全设置之--服务器安全和性能配置 把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a 功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源) 6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止 UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止 UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止 UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止 TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止 TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止 TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止 以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口 7、服务器安全设置之--本地安全策略设置 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名 启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 网络访问:不允许为网络身份验证储存凭证 启用 网络访问:可匿名访问的共享 全部删除 网络访问:可匿名访问的命 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 帐户:重命名系统管理员帐户 重命名一个帐户 还有很多设置!你可以多找找资料! 答案来源网络,供参考,希望对您有帮助
问问小秘 2019-12-02 03:00:07 0 浏览量 回答数 0

云产品推荐

上海奇点人才服务相关的云产品 小程序定制 上海微企信息技术相关的云产品 国内短信套餐包 ECS云服务器安全配置相关的云产品 开发者问答 阿里云建站 自然场景识别相关的云产品 万网 小程序开发制作 视频内容分析 视频集锦 代理记账服务 阿里云AIoT