论坛徽章:: 36

11楼 [报告]

发表于 2016-11-29 13:51 |只看该作者

回复 10# cxsvip

感谢分享。
证书小的话，至少网络传输上节省带宽。 ECDSA 现在势头比较猛。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

GB_juno

小富即安

论坛徽章:: 22

12楼 [报告]

发表于 2016-11-29 15:57 |只看该作者

回复 5# InfoHunter

HTTPs没有做CT策略(目前只有chrome支持CT)，所以悲剧了..
看新闻上面看到是赛门铁克之前未经域名拥有者同意，私自签发了75域名的测试证书（包括谷歌的域名），所以谷歌就要求了CT..神仙打架，吃瓜群众莫名中枪

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

InfoHunter

丰衣足食

论坛徽章:: 0

13楼 [报告]

发表于 2016-11-29 20:52 |只看该作者

cxsvip 发表于 2016-11-29 10:48
没有接触过HTTPS相关的项目，但SSL/TLS使用硬件加速一下的话应该会对HTTPS有一定的好处，Intel的一个解决方 ...

Intel QAT吧，那个用过，比较便宜，不过我们的nginx是改的比较大，所以没法用Intel给的patch，只能自己开发来调那些API

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

InfoHunter

丰衣足食

论坛徽章:: 0

14楼 [报告]

发表于 2016-11-29 20:59 |只看该作者

GB_juno 发表于 2016-11-29 15:57
回复 5# InfoHunter

HTTPs没有做CT策略(目前只有chrome支持CT)，所以悲剧了..

对，很多CA都没少干这事，前段时间WoSign悲剧了，看新闻说360要把WoSign和StartCom再拆分开，不知道WoSign以后会咋样…………

其实强制CT也是好事

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

InfoHunter

丰衣足食

论坛徽章:: 0

15楼 [报告]

发表于 2016-11-29 21:05 |只看该作者

Godbach 发表于 2016-11-29 13:51
回复 10# cxsvip

感谢分享。

嗯，ECC值得使用，淘宝和天猫现在就是ECDSA的证书

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

InfoHunter

丰衣足食

论坛徽章:: 0

16楼 [报告]

发表于 2016-11-29 23:20 |只看该作者

Godbach 发表于 2016-11-29 09:59
InfoHunter 兄介绍一下ATS的要求吧

OK，ATS全称是Apple Transport Security，实际上就是从iOS 9开始默认开启的一项功能，旨在让App发起的到服务端的请求都走HTTPS。最近各App、CDN的vendor们都比较关注这个事情，并且积极的准备应对，主要是因为在2016年6月的WWDC上Apple宣布从2017年1月开始强制执行ATS（之前是可以关闭的）。

然后ATS有这么几个细节，技术方面的：

ATS只作用于high level的API，比如NSURLSession, NSURLConnection。。。socket层面不受ATS影响
iOS 10之后SSL方面有这么几个变化：RC4默认禁用、SSL 3默认禁用，新增了针对本地网络不强制应用ATS的功能，新增了对CT(certificate transparency)的支持。。。

如果App已经支持了HTTPS，或者正在计划支持，那强制ATS影响不大，皆大欢喜。

但是如果因为某些原因无法实现HTTPS，那可能就比较麻烦了，因为明年开始不能像之前那样直接把ATS全局关闭来绕过，现在的手段主要是依赖于苹果的App Review，需要提出合理的理由（reasonable justification）给审核人员，但是这个就已经不是技术层面的问题，审核人员界定的理由的标准也不好判断。

其实Apple这次释放的信号已经很明显了，就是要增强安全，包括之前Google在搜索结果中会更偏向HTTPS网站的行为，其实都已经说明HTTPS已经是大势所趋，假以时日，待HTTP/2全面铺开，加密流量也会随之无处不在。

结论就是，如果你的App还在裸跑HTTP，也许真到该考虑使用HTTPS的时候了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

17楼 [报告]

发表于 2016-11-29 23:28 |只看该作者

回复 16# InfoHunter
回答的灰常给力

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

forgaoqiang

小富即安

论坛徽章:: 40

18楼 [报告]

发表于 2016-11-29 23:55 |只看该作者

回复 14# InfoHunter

苹果、火狐浏览器不信任沃通证书一年加密安全算法太弱也是个问题

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

19楼 [报告]

发表于 2016-11-30 08:56 |只看该作者

forgaoqiang 发表于 2016-11-29 23:55
回复 14# InfoHunter

苹果、火狐浏览器不信任沃通证书一年加密安全算法太弱也是个问题

有个CA资格多么难得，可以说一本万利。不好搞好维护，真不知道肿么想的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

devil3380

白手起家

论坛徽章:: 2

20楼 [报告]

发表于 2016-11-30 11:45 |只看该作者

沃通呵呵. 现在chrome和firefox都对其采取不信任的措施,还不是自己找的
收购了StartCom,还把StartCom给搞臭了
看https://wiki.mozilla.org/CA:WoSign_Issues里面介绍的这样,还有谁会去用
问题1
沃通 CA 允许证书申请者选择任意端口进行验证，违反了限制端口和路径使用的规定；
问题2
　　证书申请者如果能证明控制了某个子域名，那么就能获得根域名的证书；
　　已经研究人员利用沃通的这个失误，获得了一张沃通签发的【GitHub 网站主域名的证书】。
问题3
　　被沃通并购的 StartCom（也是一家 CA），被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题，俺稍微解释一下：
　　由于如今的运算能力越来越强，SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器，如果发现2016元旦之后签署的 CA 证书，依然采用 SHA1，会给出警告。
　　沃通的问题在于，它为了帮证书申请人规避浏览器警告，故意把签署日期伪造成2015年底。

问题4
　　除了英国程序员曝光的那3个问题，再来说一下其他人曝光的问题——
　　沃通在2015年4月9日到4月14日之间，签发了392个【相同序列号】的证书。

最近在折腾 Let's Encrypt了

评分

参与人数 1	可用积分 +6	收起理由
Godbach	+ 6	神马都是浮云

查看全部评分

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

123 4 5 6 7 / 7 页下一页

返回列表

Chinaunix › 论坛 › IT运维 › 集群和高可用 › 【专家坐堂】全站 HTTPS——如何规划、部署、优化？（获 ...

【专家坐堂】全站 HTTPS——如何规划、部署、优化？（获奖名单已公布） [复制链接]

评分