V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zuohuadong
V2EX  ›  推广

小程序、APP Store 需要的 SSL 证书是个什么东西?

  •  
  •   zuohuadong · 2018-08-14 19:50:46 +08:00 · 2285 次点击
    这是一个创建于 2299 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SSL 为什么让 HTTP 更安全

    从前山上有座庙,庙里有个和尚......,别胡闹了,老和尚来了。

    小和尚问老和尚:ssl 为什么会让 http 安全?

    老和尚答道:譬如你我都有一个同样的密码,我发信给你时用这个密码加密,你收到我发的信,用这个密码解密,就能知道我信的内容,其他的闲杂人等,就算偷偷拿到了信,由于不知道这个密码,也只能望信兴叹,这个密码就叫做对称密码。

    ssl 使用对称密码对 http 内容进行加解密,所以让 http 安全了,常用的加解密算法主要有 3DES 和 AES 等。

    小和尚摸摸脑袋问老和尚:师傅,如果我们两人选择“和尚”作为密码,再创造一个和尚算法,我们俩之间的通信不就高枕无忧了?

    老和尚当头给了小和尚一戒尺:那我要给山下的小花写情书,还得用“和尚”这个密码不成?想了想又给了小和尚一戒尺:虽然我们是和尚,不是码农,也不能自己造轮子,当初一堆牛人码农造出了 Wifi 的安全算法 WEP,后来发现是一绣花枕头,在安全界传为笑谈;况且小花只知道 3DES 和 AES,哪知道和尚算法?

    小和尚问到:那师傅何解?老和尚:我和小花只要知道每封信的密码,就可以读到对方加密的信件,关键是我们互相之间怎么知道这个对称密码。

    你说,我要是将密码写封信给她,信被别人偷了,那大家不都知道我们的密码了,也就能够读懂我们情书了。不过还是有解的,这里我用到了江湖中秘传的非对称密码。

    我现在手头有两个密码,一个叫“公钥”,一个叫“私钥”,公钥发布到了江湖上,好多人都知道,私钥嘛,江湖上只有我一个人知道;这两个密钥有数学相关性,就是说用公钥加密的信件,可以用私钥解开,但是用公钥却解不开。

    公钥小花是知道的,她每次给我写信,都要我的公钥加密她的对称密码,单独写一张密码纸,然后用她的对称密码加密她的信件,这样我用我的私钥可以解出这个对称密码,再用这个对称密码来解密她的信件。

    老和尚顿了顿:可惜她用的对称密码老是“和尚为什么写情书”这一类,所以我每次解开密码纸时总是怅然若失,其实我钟意的对称密码是诸如“风花”“雪月”什么的,最头痛的是,我还不得不用“和尚为什么写情书”这个密码来加密我给小花回的情书,人世间最痛苦的事莫过于如此。

    可我哪里知道,其实有人比我更痛苦。

    山下的张屠夫,暗恋小花很多年,看着我们鸿雁传书,心中很不是滋味,主动毛遂自荐代替香客给我们送信。

    在他第一次给小花送信时,就给了小花他自己的公钥,谎称是我公钥刚刚更新了,小花信以为真,之后的信件对称密码都用张屠夫的这个公钥加密了,张屠夫拿到回信后,用他自己的私钥解开了小花的对称密码,然后用这个对称密码,不仅能够看到了小花信件的所有内容,还能使用这个密码伪造小花给我写信,同时还能用他的私钥加密给小花的信件。

    渐渐我发现信件变味了,尽管心生疑惑,但是没有确切的证据,一次我写信问小花第一次使用的对称密码,回信中“和尚为什么写情书”赫然在列,于是我的疑惑稍稍减轻。

    直到有一次去拜会嵩山少林寺老方丈才顿悟,原来由于我的公钥没有火印,任何人都可以伪造一份公钥宣称是我的,这样这个人即能读到别人写给我的信,也能伪造别人给我写信,同样也能读到我的回信,也能伪造我给别人的回信,这种邪门武功江湖上称之“ Man-in-the-middle attack ”。

    唯一的破解就是使用嵩山少林寺的火印,这个火印可有讲究了,需要将我的公钥及个人在江湖地位提交给 18 罗汉委员会,他们会根据我的这些信息使用委员会私钥进行数字签名,签名的信息凸现在火印上,有火印的公钥真实性在江湖上无人质疑,要知道 18 罗汉可是无人敢得罪的。

    小和尚问:那然后呢?老和尚:从嵩山少林寺回山上寺庙时,我将有火印的公钥亲自给小花送去,可是之后再也没有收到小花的来信。

    过了一年才知道,其实小花还是给我写过信的,当时信确实是用有火印的公钥加密,张屠夫拿到信后,由于不知道我的私钥,解不开小花的密码信,所以一怒之下将信件全部烧毁了。

    也由于张屠夫无法知道小花的对称密码而无法回信,小花发出几封信后石沉大海,也心生疑惑,到处打听我的近况。

    这下张屠夫急了,他使用我发布的公钥,仿照小花的语气,给我发来一封信。拿到信时我就觉得奇怪,信纸上怎么有一股猪油的味道,结尾竟然还关切的询问我的私钥。

    情知有诈,我思量无论如何要找到办法让我知道来的信是否真是小花所写。后来竟然让我想到了办法....老和尚摸着光头说:这头发可不是白掉的,我托香客给小花带话,我一切安好,希望她也拥有属于自己的一段幸福,不对,是一对非对称密钥。

    小花委托小镇美女协会给小花公钥打上火印后,托香客给我送来,这样小花在每次给我写信时,都会在密码纸上贴上一朵小牡丹,牡丹上写上用她自己的私钥加密过的给我的留言,这样我收到自称是小花的信后,我会先抽出密码纸,取下小牡丹,使用小花的公钥解密这段留言,如果解不出来,我会直接将整封信连同密码纸一起扔掉,因为这封信一定不是小花写的,如果能够解出来,这封信才能确信来之于小花,我才仔细的解码阅读。

    小和尚:难怪听说张屠夫是被活活气死的。您这情书整的,我头都大了,我长大后,有想法直接扯着嗓子对山下喊,也省的这么些麻烦。不过我倒是明白了楼上的话,ssl 握手阶段,就是要解决什么看火印,读牡丹,解密码纸,确实够麻烦的,所以性能瓶颈在这里,一旦双方都知道了对称密码,之后就是行云流水的解码读信阶段了,相对轻松很多。

    (转载自: https://www.zhihu.com/question/21518760/answer/19698894 内容有删改。)

    使用 HTTPS 有什么好处?

    1. 小程序 和 苹果应用商店目前要求必须 HTTPS
    2. 在浏览器显示绿标。

    在 chrome 68 以上的浏览器中,http 已经被标注为不安全,如果用户浏览网站时有这样的提示,会对网站产生不好的影响。

    1. 防止流量劫持。

    如今流量劫持越发严重,针对 http 插入广告,甚至针对 http 强制跳转到其他网页,并且已经可以控制哪些时间段跳转,每个设备跳转几次,以增强隐蔽性。庞大的利益链使得流量劫持极为严重。

    1. 当然是安全了,HTTPS 能有效防止中间人攻击。

    2. 对于拓展验证来说,支持在浏览器里直接显示绿条。

    如何部署 HTTPS ?

    请从 https-start 获取各大 HTTP 服务器的配置文件和部署说明。

    欢迎 star

    10 条回复    2018-08-15 21:08:51 +08:00
    lion9527
        1
    lion9527  
       2018-08-14 20:00:46 +08:00 via Android
    看标题还以为是新人问的问题。
    在论坛里用这样的标题忽悠人进来,我只感受到满满的恶意。
    TRIKING
        2
    TRIKING  
       2018-08-14 20:41:36 +08:00 via iPhone
    不发到推广节点?
    mdos
        3
    mdos  
       2018-08-14 21:22:00 +08:00   ❤️ 1
    @Livid 这个该发到推广节点吧?
    ywgx
        4
    ywgx  
       2018-08-14 22:09:02 +08:00
    无论如何,值得鼓励,对大家有利益,请看文章 《 HTTPS 证书配置一劳永逸》 https://xabcloud.com/#/ssl
    myself
        5
    myself  
       2018-08-14 22:19:42 +08:00 via Android
    本来很简单的事情,感觉一比喻反而复杂了
    Livid
        6
    Livid  
    MOD
       2018-08-15 05:02:48 +08:00
    @mdos 谢谢举报。

    @zuohuadong 这样的主题,请只发布到 /go/promotions 节点。
    FaithFei
        7
    FaithFei  
       2018-08-15 11:11:10 +08:00
    这头发不是白掉的???
    zuohuadong
        8
    zuohuadong  
    OP
       2018-08-15 13:50:01 +08:00
    @Livid 好的,但不是很明白这个跟推广有什么关系?
    Livid
        9
    Livid  
    MOD
       2018-08-15 14:47:19 +08:00
    @zuohuadong 我刚才又重新看了一遍。

    请问这篇文章是你自己写的吗?
    zuohuadong
        10
    zuohuadong  
    OP
       2018-08-15 21:08:51 +08:00
    @Livid 前面的比喻摘录的知乎~ 后面是自己写的。
    github 上提供的 nginx caddy apache iis 配置文件也是自己写的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1151 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:47 · PVG 07:47 · LAX 15:47 · JFK 18:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.