深入淺出 HTTPS：從原理到實(shí)戰(zhàn)

第1章 HTTP介紹 1
1.1 什么是Web 1
1.1.1 廣義理解Web 1
1.1.2 Web的組成 2
1.2 理解HTTP 4
1.2.1 HTTP的定義 4
1.2.2 HTTP語義 5
1.2.3 HTTP的特點(diǎn) 8
1.3 網(wǎng)絡(luò)模型 9
1.3.1 TCP/IP概述 9
1.3.2 Socket和TCP 12
1.4 協(xié)議安全分析 13
1.4.1 安全問題舉例 13
1.4.2 協(xié)議不安全的根本原因 14
1.5 Web應(yīng)用安全 15
1.5.1 瀏覽器、HTML和JavaScript 16
1.5.2 W3C 17

第2章 密碼學(xué) 19
2.1 對(duì)于密碼學(xué)的認(rèn)知 19
2.1.1 基本認(rèn)知 19
2.1.2 密碼學(xué)的四個(gè)目標(biāo) 21
2.1.3 OpenSSL 22
2.2 隨機(jī)數(shù) 25
2.2.1 隨機(jī)數(shù)的類型 25
2.2.2 隨機(jī)數(shù)的工作原理 26
2.2.3 常見的隨機(jī)數(shù)生成器 26
2.2.4 密碼學(xué)算法中的隨機(jī)數(shù) 27
2.3 Hash算法 27
2.3.1 加密基元 28
2.3.2 Hash算法和密碼學(xué)Hash算法 28
2.3.3 密碼學(xué)Hash算法的特性 29
2.3.4 Hash算法的用途 29
2.3.5 什么是安全的密碼學(xué)Hash算法 30
2.3.6 密碼學(xué)Hash算法的分類 31
2.4 對(duì)稱加密算法 33
2.4.1 流密碼算法 34
2.4.2 塊密碼算法 36
2.4.3 填充標(biāo)準(zhǔn) 41
2.4.4 對(duì)稱加密算法實(shí)踐 42
2.5 消息驗(yàn)證碼 47
2.5.1 什么是消息驗(yàn)證碼 47
2.5.2 MAC算法的種類 49
2.5.3 消息驗(yàn)證碼算法實(shí)踐 49
2.5.4 加密算法不能提供完整性 50
2.5.5 AD加密模式 52
2.5.6 AEAD加密模式 53
2.6 公開密鑰算法 54
2.6.1 理解RSA的內(nèi)部結(jié)構(gòu) 55
2.6.2 PKCS標(biāo)準(zhǔn) 56
2.6.3 RSA加密算法的應(yīng)用場(chǎng)景 58
2.6.4 RSA加密算法實(shí)踐 59
2.7 密鑰 62
2.7.1 生成密鑰 63
2.7.2 口令和PEB算法 63
2.7.3 密鑰存儲(chǔ)和傳輸 66
2.8 密鑰協(xié)商算法 67
2.8.1 RSA密鑰協(xié)商算法 68
2.8.2 DH密鑰協(xié)商算法 69
2.8.3 DH算法分類 71
2.8.4 DH密鑰協(xié)商算法實(shí)踐 71
2.9 橢圓曲線密碼學(xué) 73
2.9.1 ECC算法的基本模型 74
2.9.2 使用OpenSSL了解命名曲線 75
2.9.3 ECDH協(xié)商算法 76
2.9.4 命名曲線 77
2.10 數(shù)字簽名 79
2.10.1 數(shù)字簽名的用途 79
2.10.2 數(shù)字簽名的流程 80
2.10.3 RSA數(shù)字簽名算法 81
2.10.4 RSA數(shù)字簽名實(shí)踐 81
2.11 DSA數(shù)字簽名算法 83
2.11.1 內(nèi)部結(jié)構(gòu) 84
2.11.2 DSA算法實(shí)踐 85
2.11.3 ECDSA算法 87
2.11.4 ECDSA算法實(shí)踐 88
2.12 算法安全性和性能 90
2.12.1 密鑰長度與算法安全性 90
2.12.2 密碼學(xué)性能 91

第3章 宏觀理解TLS 101
3.1 TLS/SSL協(xié)議綜述 101
3.1.1 TLS/SSL協(xié)議的歷史 101
3.1.2 正確認(rèn)知TLS/SSL協(xié)議 102
3.1.3 TLS/SSL協(xié)議的目標(biāo) 103
3.1.4 OpenSSL和TLS/SSL的關(guān)系 104
3.1.5 HTTPS和TLS/SSL的關(guān)系 105
3.1.6 TLS/SSL協(xié)議的一些實(shí)現(xiàn) 106
3.2 TLS/SSL協(xié)議背后的算法 107
3.2.1 加密算法和MAC算法 107
3.2.2 密鑰協(xié)商算法 108
3.2.3 前向安全性 110
3.2.4 密鑰衍生算法 111
3.2.5 中間人攻擊 112
3.2.6 PKI 114
3.3 HTTPS總結(jié) 117
3.3.1 握手 119
3.3.2 加密 125
3.4 實(shí)施HTTPS網(wǎng)站的必備條件 125
3.4.1 證書和密鑰對(duì) 126
3.4.2 部署和配置HTTPS網(wǎng)站 126
3.4.3 全站HTTPS策略 127
3.5 從用戶的角度看HTTPS 128
3.5.1 綠色小鎖圖標(biāo) 128
3.5.2 TLS/SSL握手失敗 129
3.5.3 混合內(nèi)容 131

第4章 選擇HTTPS的必要性和疑惑 134
4.1 部署HTTPS的疑惑 134
4.1.1 網(wǎng)站好像沒有隱私數(shù)據(jù) 134
4.1.2 復(fù)雜性 135
4.1.3 成本 137
4.1.4 性能 137
4.1.5 外部資源不支持HTTPS 138
4.1.6 收益和時(shí)間對(duì)比 139
4.2 部署HTTPS的必要性 140
4.2.1 HTTP/2帶來的性能提升 140
4.2.2 趨勢(shì) 140
4.2.3 企業(yè)形象 142
4.2.4 HTML5的特性 142
4.2.5 iOS ATS的安全要求 143
4.2.6 Chrome和Firefox所做的努力 143
4.2.7 SEO排名和谷歌Analytics 144

第5章 快速搭建一個(gè)HTTPS網(wǎng)站 145
5.1 HTTPS網(wǎng)站構(gòu)建分析 145
5.2 獲取證書和密鑰對(duì) 146
5.2.1 自簽名證書 147
5.2.2 向CA機(jī)構(gòu)申請(qǐng)證書 148
5.2.3 使用Let’s Encrypt證書 149
5.3 部署證書和密鑰對(duì) 150
5.3.1 Nginx配置 150
5.3.2 Apache配置 151
5.4 測(cè)試HTTPS 152
5.5 301重定向 154
5.6 HSTS 155
5.6.1 什么是HSTS 155
5.6.2 HSTS實(shí)踐 158
5.6.3 瀏覽器支持 158
5.6.4 HSTS Preloading 159
5.7 CSP 159
5.7.1 如何消除混合內(nèi)容 159
5.7.2 什么是CSP 160
5.7.3 瀏覽器的兼容性 161
5.7.4 CSP實(shí)踐 161

第6章 證書 165
6.1 X.509標(biāo)準(zhǔn)和PKI 165
6.1.1 X.509標(biāo)準(zhǔn) 166
6.1.2 PKI的組成 166
6.1.3 X.509標(biāo)準(zhǔn)的內(nèi)容 167
6.2 證書 167
6.2.1 ASN.1 167
6.2.2 證書結(jié)構(gòu) 168
6.2.3 CSR 172
6.2.4 證書擴(kuò)展 174
6.2.5 證書分類 177
6.3 證書鏈 180
6.3.1 證書類型 180
6.3.2 信任原理 182
6.3.3 信任鏈校驗(yàn) 183
6.3.4 信任錨 184
6.3.5 委派和交叉認(rèn)證 186
6.3.6 證書完整校驗(yàn) 189
6.4 CRL 190
6.4.1 證書過期和吊銷 190
6.4.2 證書被吊銷的原因 191
6.4.3 CRL是什么 191
6.4.4 CRL校驗(yàn) 192
6.4.5 CRL的結(jié)構(gòu) 193
6.4.6 CRL存在的問題 195
6.5 OCSP 196
6.5.1 OCSP是什么 196
6.5.2 OCSP模型概述 197
6.5.3 OCSP詳解 200
6.6 OCSP封套 204
6.6.1 OCSP的優(yōu)缺點(diǎn) 204
6.6.2 OCSP封套的工作原理 205
6.6.3 OCSP封套的優(yōu)點(diǎn) 206
6.6.4 OCSP封套的兼容性 207
6.7 OpenSSL命令行管理證書 207
6.7.1 證書格式 207
6.7.2 證書的其他格式 208
6.7.3 獲取線上證書 209
6.7.4 導(dǎo)入證書到根證書庫 213
6.7.5 OpenSSL管理CSR 216
6.7.6 OpenSSL生成證書 218
6.7.7 OpenSSL查看證書 218
6.7.8 校驗(yàn)CRL 224
6.7.9 校驗(yàn)OCSP 227
6.7.10 校驗(yàn)OCSP封套 232
6.8 其他 233
6.8.1 如何選擇一個(gè)CA機(jī)構(gòu) 233
6.8.2 證書的透明度 236

第7章 Let’s Encrypt免費(fèi)證書 244
7.1 Let’s Encrypt 244
7.1.1 Let’s Encrypt CA機(jī)構(gòu)的特點(diǎn) 244
7.1.2 Let’s Encrypt證書的特點(diǎn) 245
7.2 Let’s Encrypt工作原理 248
7.2.1 域名校驗(yàn)過程 248
7.2.2 請(qǐng)求、更新、續(xù)期、撤銷證書流程 249
7.3 Certbot客戶端 249
7.4 Let’s Encrypt的其他信息 264

第8章 TLS協(xié)議分析 267
8.1 如何理解RFC文檔 267
8.2 描述語言 270
8.3 TLS/SSL協(xié)議概述 273
8.4 TLS記錄層協(xié)議 278
8.5 TLS/SSL握手協(xié)議 288
8.6 擴(kuò)展 306
8.7 基于Session ID的會(huì)話恢復(fù) 316
8.8 SessionTicket 319
8.9 使用Wireshark學(xué)習(xí)TLS/SSL協(xié)議 325

第9章 HTTPS性能和安全 347
9.1 密碼套件 347
9.2 安全性 364
9.3 性能 385

第10章 HTTPS網(wǎng)站實(shí)戰(zhàn) 414
10.1 工具化配置HTTPS 414
10.2 自動(dòng)化測(cè)試HTTPS網(wǎng)站 426
10.3 OpenSSL命令行工具 439
10.4 實(shí)戰(zhàn)HTTPS網(wǎng)站部署 454
10.5 大型網(wǎng)站部署HTTPS 471