目录

• 怎么证明我是我？
• 加密算法的相关概念？
• 全站的一些思考 ？

---

• 怎么证明我是我？

我是谁.png

• 加密算法的相关概念？

明文/密文

cipher.png

对称密钥

特点：速度快，加密和解密是同一个，密钥一定不能泄露
算法： DES、3DES、AES、RC5、RC6

非对称密钥

Paste_Image.png

特点：不需要共享密钥,私钥不能外泄
算法： RSA

数字签名

作用：验证传输的内容是不是真实服务器发送的数据，发送的数据有没有被篡改过，它就干这两件事，是非对称加密的一种应用场景。不过他是反过来用私钥来加密，通过与之配对的公钥来解密。

CA 数字证书

作用：质检部门，被认可（浏览器）的

• 全站的一些思考？

HTTPS: TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能，可以有效防止数据被查看或篡改，以及防止中间人冒充。

思考一：混合内容

https://imququ.com/post/sth-about-switch-to-https.html

思考二：HSTS && Preload List

1. HSTS 可以很好的解决 HTTPS 降级攻击，但是对于 HSTS 生效前的首次 HTTP 请求，依然无法避免被劫持。浏览器厂商们为了解决这个问题，提出了 HSTS Preload List 方案：内置一份列表，对于列表中的域名，即使用户之前没有访问过，也会使用 HTTPS 协议；列表可以定期更新。

2. Preload List：解决HSTS 生效前的首次 HTTP 请求，依然无法避免被劫持;内置一份列表，对于列表中的域名，即使用户之前没有访问过，也会使用 HTTPS 协议；列表可以定期更新。

注意项：你不能确保永远提供 HTTPS 服务，就不要启用**。因为一旦 HSTS 生效，你再想把网站重定向为 HTTP，之前的老用户会被无限重定向，唯一的办法是换新域名

思考三：CDN

1. 支持HTTPS
2. 安全问题、SRI
3. 证书的问题，私钥给到第三方，key server

参考原文：https://imququ.com/post/sth-about-switch-to-https.html

思考四：SSL卸载

？性能
F5加速卡，nginx 和haproxy

思考五：客户端证书、服务器端证书

？用浏览器验证没有问题的HTTPs站点，用程序访问就有问题。这是为什么？
? 中间证书
? 证书链的大小

思考六：OCSP & CRL

CRL: 纪录被CA所撤销的凭证清单

Paste_Image.png

OCSP: 提供线上动态查询凭证的状态

https://translate.google.com.tw/translate?hl=zh-CN&sl=zh-TW&u=http://ijecorp.blogspot.com/2016/01/ocsp-crl.html&prev=search

思考七：SHA-1

http://www.wosign.com/news/STOP_SHA1.htm

思考八：多个域名对应一个IP

SNI

并发连接数 带宽 域名收缩