分类: TLS/SSL

Secure Sockets Layer,安全套接层
Transport Layer Security,传输层安全

使用 Certbot 申请 Buypass CA 的 SSL 证书

一、使用 Certbot 获取证书

安装 Certbot 后,您可以从 Buypass CA 获取证书,以下示例是使用 EFF 的 Certbot 从其官方网站生成的

Certbot 需要 root 权限才能执行其操作。Certbot 将在首次使用“certbot-auto”二进制文件执行命令时自动安装依赖项。Certbot 完成安装其依赖项后,系统将提示您输入。
在从Buypass AS ACME服务获得证书之前,也会自动进行注册。

继续阅读使用 Certbot 申请 Buypass CA 的 SSL 证书

此网站的安全证书已被吊销,因此现在你不能访问此网站。

1月5日凌晨,访问自己的一个网站突然无法打开且出现“此网站的安全证书已被吊销,因此现在你不能访问此网站。
错误代码: ERROR_INTERNET_SEC_CERT_REVOKED
由于此站点使用 HTTP 严格传输安全,因此你目前无法继续访问此站点。”的错误提示。一开始我还以为是到期了呢,没想到。。。。。。
继续阅读此网站的安全证书已被吊销,因此现在你不能访问此网站。

国密Nginx——Openresty编译安装以支持国密SSL

忘记第一次了解到国密是什么时候了,但是我依稀记得第一次研究折腾国密SSL是在去年(2021)的某项目中接触到奇安信可信浏览器中国密SSL的支持。
但是折腾了一段时间找到了几种方法都没有解决,主要是当时想用openssl直接实现吧(忘记了。。。。。。)
继续阅读国密Nginx——Openresty编译安装以支持国密SSL

HTTP Public Key Pinning (HPKP)

HTTP公钥锁定(HPKP)是一种安全功能,它告诉Web客户端将特定加密公钥与某个Web服务器相关联,以降低使用伪造证书进行MITM攻击的风险。

为确保TLS会话中使用的服务器公钥的真实性,此公钥将包装到X.509证书中,该证书通常由证书颁发机构(CA)签名。诸如浏览器之类的Web客户端信任许多这些CA,它们都可以为任意域名创建证书。如果攻击者能够攻击单个CA,则他们可以对各种TLS连接执行MITM攻击。 HPKP可以通过告知客户端哪个公钥属于某个Web服务器来规避HTTPS协议的这种威胁。

HPKP是首次使用信任(TOFU)技术。 Web服务器第一次通过特殊的HTTP标头告诉客户端哪些公钥属于它,客户端会在给定的时间段内存储此信息。当客户端再次访问服务器时,它希望证书链中至少有一个证书包含一个公钥,其指纹已通过HPKP已知。如果服务器提供未知的公钥,则客户端应向用户发出警告。

Firefox和Chrome禁用固定主机的引脚验证,其验证的证书链终止于用户定义的信任锚(而不是内置信任锚)。 这意味着对于导入自定义根证书的用户,将忽略所有固定违规。

继续阅读HTTP Public Key Pinning (HPKP)

Buypass Go SSL : Buypass Root certificates (Buypass Class 2 CA 5) (PEM)

时隔一年多我再次接触并且申请Buypass的免费证书,这一切的一切都是因为我当前所使用的广电网络无法访问我为了不再折腾通配符SSL而托管在Cloudflare的一个域名无法访问但是却能使用手机网络访问的问题。后面指定IP回源是能访问到却难以忍受浏览器提示不安全的证书而直接在源站使用一个受信任的证书。

继续阅读Buypass Go SSL : Buypass Root certificates (Buypass Class 2 CA 5) (PEM)

迟到的支持:Nginx支持TLS1.3

虽然一直以来源站还没有支持tls1.3但是透过CDN提供了支持。通过CDN表明上是支持了tls1.3可是我自建CDN的网站却无法等到支持。本来几年前就折腾编译了但是没有成功,刚刚发现了新的套件就试了试没想到就能tls1.3了。写着写着突然想到是不是现在源站的Nginx改改加密套件就可以支持了?!

本次同样在之前搭建VeryNginx当基础的前提下再次编译支持。

继续阅读迟到的支持:Nginx支持TLS1.3