商业源码 服务器上其中有个站加了证书,其他站没证书也会访问到那个站上
如果您在服务器上为某个站点添加了SSL证书,其他未添加证书的站点仍然可以访问到该站点,这可能是由以下原因导致的:
1 SSL证书未正确配置:请检查您的SSL证书配置是否正确。确保SSL证书已正确安装在服务器上,并且已正确配置到相应的站点。
2 SSL证书未过期:请检查您的SSL证书是否已过期。如果SSL证书已过期,其他未添加证书的站点可能仍然可以访问到该站点。
3 SSL证书未吊销:请检查您的SSL证书是否已被吊销。如果SSL证书已被吊销,其他未添加证书的站点可能仍然可以访问到该站点。
4 服务器配置问题:请检查服务器的配置是否正确。确保服务器已正确配置SSL证书,并且已启用SSL加密。
5 网络问题:请检查网络连接是否正常。如果网络连接不稳定,可能会导致其他未添加证书的站点仍然可以访问到该站点。
为了解决这个问题,您可以尝试以下方法:
1 检查SSL证书配置:确保您的SSL证书配置正确,包括证书文件路径、证书私钥文件路径、证书链等。
2 检查SSL证书有效期:确保您的SSL证书未过期,并且已过期的证书已被正确替换。
3 检查SSL证书吊销状态:确保您的SSL证书未被吊销,并且已被吊销的证书已被正确替换。
4 检查服务器配置:确保服务器已正确配置SSL证书,并且已启用SSL加密。
5 检查网络连接:确保网络连接稳定,以便其他未添加证书的站点仍然可以访问到该站点。
如果问题仍然存在,请联系服务器提供商或技术支持团队,以获取更详细的帮助。
服务器证书也就是SSL证书,不受信任的原因很多,具体分析如下:
第一种、证书过期
SSL证书都是有有效期的,如果站长购买后部署了证书,然后就忘记了证书这一件事情。等到有一天突然有用户说,你们的网站怎么显示的红色警告图标。这时候才开始排查问题,那么首先应该检查的就是证书是否过了有效期,如果过了有效期,证书应该及时续费或者使用其他证书,最好是在证书快要过期前的一两周续费,以免影响网站后续的使用。如果证书被吊销,也会显示日期过期,这种要立刻联系证书提供商,查找吊销原因,及时解决。
第二种、证书来自不信任的CA机构
CA机构就是证书的颁发机构。如果对SSL证书有所了解,那么大家应该知道,证书是任何人都可以发布的,我们可以自己给自己的网站颁发证书,我们也可以把我们自己制作的证书给别人安装。这种证书是完全不需要成本的,只需要你对证书有一定的了解,但是这种证书是默认不受其他客户端信任的,通常客户端会提示“该证书来自不信任的CA机构”。目前全球权威CA机构有Symantec、GeoTrust、Comodo以及RapidSSL等多家。
第三种、户端不支持SNI协议
一般这种情况发生在Windows XP系统中,安卓42以下版本也会发生这种情况,大多数原因是因为这些系统时代太久远了,目前使用的人数非常之少,也不建议大家使用。这些比较古老的系统中大多是不支持SNI(Server Name Indication,服务器名字指示)协议的,不过目前主流的操作系统都是支持这个协议的,大家也不用太担心。
第四种、证书的不完整
在申请证书的时候,经常会由于用户的疏忽或者是第一次申请,不是很懂,导致没有完全看懂申请规则,这样在申请时候就会导致域名匹配不正确,所以在申请的时候一定要看清楚,认真填写。
您好!
提示可以忽略,如果一定要取消该提示,只需在Default默认站点,没有默认站点的也可以创建一个,默认站点随意绑定一个SSL证书就可以了,具体教程如下:网页链接
需要的站点绑定可信的SSL证书,根据SSL安装教程安装。
如果要实现HTTP跳转到HTTPS,首先要确保HTTP普通网站80端口要绑定好域名,HTTPS也安装好并且在浏览器可以正常访问,然后根据教程设置强制HTTPS访问:SSL自动跳转到HTTPS
如果还是不会安装SSL证书或者碰到复杂问题,可以联系Gworg提供有偿技术。
注意:一台服务器只能安装一个独立的SSL证书。如果使用多域名或泛域名证书,要根据对应的教程安装!安装前提确保服务器防火墙443、80端口正常开放,如果使用云服务器需要供应商安全规则里面添加端口。
IP直连可以避免localDNS解析导致的DNS劫持,但是在iOS中不仅仅是将host直接换成IP地址就可以了,还有以下需要注意的问题。
发送HTTPS请求首先要进行SSL/TLS握手,握手过程大致如下:
上述过程中,和HTTPDNS有关的是第3步,客户端需要验证服务端下发的证书,验证过程有以下两个要点:
如果上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。 当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HTTPDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功 。
针对 domain不匹配 问题,可以采用如下方案解决:hook证书校验过程中第2步,将IP直接替换成原来的域名,再执行证书验证。
方法为在客户端收到服务器的质询请求代理方法 -URLSession:task:didReceiveChallenge:completionHandler: 中,首先从header中获取host(第一点注意事项:HTTP请求头HOST字段设置),从header中如果没有取到host,就去URL中获取host(降级为LocalDNS解析时不进行替换),然后拿着host在自己的方法-evaluateServerTrust:forDomain:中创建SSL Policy证书校验策略,然后对证书进行校验。
SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它的工作原理如下:
在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),服务器根据这个域名返回一个合适的证书。
目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 098也已经内置这一功能。
上述过程中,当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HttpDNS解析出来的IP,导致SSL/TLS握手中服务器接收到的客户端发出的clientHello中的SNI为host解析后的IP,从而无法找到匹配的证书,只能返回默认的证书或者不返回,所以会出现SSL/TLS握手不成功的错误。
比如当你需要通过HTTPS访问CDN资源时,CDN的站点往往服务了很多的域名,所以需要通过SNI指定具体的域名证书进行通信。
SNI(单IP多HTTPS证书)场景下,iOS上层网络库 NSURLConnection/NSURLSession 没有提供接口进行 SNI 字段 配置,因此需要 Socket 层级的底层网络库例如 CFNetwork,来实现 IP 直连网络请求适配方案。苹果提供的一些指导,在 Networking Programming Topics 中,可以通过如下方式指定一个TLS hostname:
我们使用CFNetwork进行HTTP网络请求的方法,详见 [2] 。
Apple - Communicating with HTTP Servers
Apple - HTTPS Server Trust Evaluation - Server Name Failures
Apple - HTTPS Server Trust Evaluation - Trusting One Specific Certificate
[1]:HTTPS场景IP直连方案说明
[2]:使用CFNetwork进行HTTP请求
首先一台服务器只能安装1个SSL证书,如果2个站点用多域名证书或者通配符证书,然后按照以下教程配置就可以了:
IIS7 安装多域名SSL证书:https://wwwgworgcom/ssl/111html
如果是windows 2012 直接在绑定的是明确绑定HTTPS的域名。
一、HTTPS 为什么安全
HTTPS,也称作 HTTP over TLS,TLS 前身是 SSL,会有各个版本。
TLS协议在TCP/IP协议栈中的关系
上图描述了在TCP/IP协议栈中TLS(各子协议)和 HTTP 的关系。HTTP+TLS 也就是 HTTPS,和 HTTP 相比, HTTPS的优势:
上面内容参考了HTTPS工作原理。(石头在N 久前用印象笔记收藏的,现在好多原文访问不了了)
HTTPS 原理
上图就是大致介绍了 HTTPS 的握手流程,感兴趣的同学可以用 WireShark 抓包详细看看其中的每一个步骤,有助于理解 HTTPS 的完整流程。这里,我就不详述了。
大致就是客户端和服务端通过“握手会谈”商量出一个双方支持的加密算法和相应随机参数,得到一对密钥,后续的传输的内容都通过这对密钥进行加解密。
这对密钥很牛皮,比如要加密传输消息『tangleithu』,客户端通过公钥加密得到的密文『xyyaabbccdd』进行传输,服务端用自己的私钥对密文解密,恰好能得到『tangleithu』。中间错一位都不行,这样就保证了数据完整和隐私性。
因此,你在通过 HTTPS 访问网站的时候,就算流量被截取监听,获取到的信息也是加密的,啥实质性的内容也看不到。
例如,如下图所示,当我访问某个网站,此时通过 wireshark 抓包得到的信息,能获得仅仅是一些通信的IP地址而已。
HTTPS加密传输
这下放心了吗?
摸鱼的过程中,就算访问的 IP 地址被知道了,好像也无关紧要?
其实,有了 IP 地址也能获取不少信息了。
还好这个 IP 搜出来是 github,而不是……
你或许会高兴,连个网站域名都看不到,可以放心摸鱼了。不过,这是真的吗?
二、HTTPS 真的安全吗?
HTTPS 真的完全安全吗?连访问的域名都获取不到?答案是否定的。
上述 HTTPS 在握手阶段有一个很重要的东西 —— 证书。
1SNI —— 域名裸奔
当访问 HTTPS 站点时,会首先与服务器建立 SSL 连接,第一步就是请求服务器的证书。
当一个 Server IP 只对应一个域名(站点)时,很方便,任意客户端请求过来,无脑返回该域名(服务)对应的证书即可。但 IP 地址(IPv4)是有限的呀,多个域名复用同一个 IP 地址的时候怎么办?
服务器在发送证书时,不知道浏览器访问的是哪个域名,所以不能根据不同域名发送不同的证书。
因此 TLS 协议升级了,多了 SNI 这个东西,SNI 即 Server Name Indication,是为了解决一个服务器使用多个域名和证书的 SSL/TLS 扩展。
现在主流客户端都支持这个协议的。别问我怎么知道这个点的,之前工作上因为这个事情还费了老大劲儿……
它的原理是:在与服务器建立 SSL 连接之前,先发送要访问站点的域名(Hostname),这样服务器会根据这个域名返回一个合适的证书。此时还没有办法进行加解密,因此至少这个域名是裸奔的。
如下图所示,上面的截图其实是访问网站的抓包情况,客户端发送握手请求时,很自觉带上了自己的域名。
HTTPS SNI
因此,即便是 HTTPS,访问的域名信息也是裸奔状态。你上班期间访问小**网站,都留下了痕迹,若接入了公司网络,就自然而然被抓个正着。
除了域名是裸奔外,其实还有更严重的风险,那就是中间人攻击。
2中间人攻击
前面也提到 HTTPS 中的关键其实在于这个证书。从名字可以看出来,中间人攻击就是在客户端、服务器之间多了个『中介』,『中介』在客户端、服务器双方中伪装对方,如下图所示,这个『MitmProxy』充当了中间人,互相欺骗:
中间人攻击,来源 evil0x
可以安装 MitmProxy 或者 Fiddler 之类的抓包软件尝试一把,然后开启代理。
此时用手机访问百度,得到的信息如下:
证书信任前
提示,连接不是私密连接,其实就是浏览器识别了证书不太对劲,没有信任。而如果此时手机安装了 Fiddler 的证书,就会正常访问。
证书信任后可正常访问
因此,当你信任证书后,在中间人面前,又是一览无余了。
而如果你用了公司电脑,估计你有相应的操作让信任证书吧,或者手机上是否有安装类似的客户端软件吧?
抓紧时间看看手机的证书安装明细
三、如何防止信息安全,反爬
前面提到,要实施中间人攻击,关键在于证书是否得到信任。浏览器的行为是证书可以让用户授权是否信任,而 APP 就可以开发者自己控制。
比如我尝试通过类似的方式对某匿名社区进行抓包解密 HTTPS,但最终失败了,为什么呢?
这就要谈到『SSL Pinning』技术。
App 可以自己检验 SSL 握手时服务端返回的证书是否合法,“SSL pinning” 技术说的就是在 App 中只信任固定的证书或者公钥。
因为在握手阶段服务端的证书必须返回给客户端,如果客户端在打包的时候,就把服务端证书放到本地,在握手校验证书的环节进行比较,服务端返回的证书和本地内置的证书一模一样,才发起网络请求。否则,直接断开连接,不可用。
当然,一般情况下,用这种技术也就能防止 HTTPS 信息被解密了。
不过,也还有其他的技术能够破解这种方法,比如 Android 下的一些 Hook 技术,具体而言就是绕过本地证书强校验的逻辑。感兴趣的同学可以抱着学习目的研究一下。不过据说这种方式需要对系统进行 Root、越狱等,需要一些更高权限的设置。
因此,也告诫我们,一定不要乱安装一些软件,稍不注意可能就中招,让自己在互联网上进行裸奔。一方面个人隐私信息等泄露,另外一个方面可能一些非常重要的如账户密码等也可能被窃取。
四、可能的监控手段有哪些?
办公电脑当然要接入公司网络,通过上面介绍的内容,你也应该知道,你在什么时候浏览了哪些网站,公司其实都是一清二楚的。
若自己的手机如果接入了公司网络也是一模一样(连 Agent 软件都不需要装)。这就提醒我们,私人上网尽量用自己的移动网络呀。
上面提到,如一些涉及隐私的敏感信息,如一些 PC 软件、手机 App 自己内部加密传输的话,内容加密(包括但不限于 HTTPS)不被破解也问题不大。
不过,这当然依赖这些软件设计者的水平了。比如同一个匿名用户对外展示的 ID 不能相同,如果是同一个的话也恰好暴露了逻辑漏洞。
当然,我们还是不要抱有侥幸心理,在监管的要求下,如果确实有一些违法等不恰当的言论等,始终还是有门路找到你的。
更何况,一般办公电脑都会预安装一些公司安全软件,至于这些软件究竟都干了些什么,有没有进行传说中悄悄截图什么的,这就因人(公司)而异了。(不讨论类似行为是否涉及到侵犯了员工隐私等问题)
0条评论