开启 TLS 1.3 加密协议,极速 HTTPS 体验

发布于 2018-01-17

目前本站已开启TLS 1.3 加密协议 随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要。又拍云在 HTTPS 的普及和性能优化上,始终做着自己的努力和贡献。2018年初,又拍云 CDN 网络部署了 TLS 1.3,进一步提升了用户的访问速度与安全。   什么是 TLS 1.3? TLS 1.3 加密协议是在 TLS 1.0 、TLS 1.1 、TLS 1.2 之前版本基础上进行的升级和改造,也是迄今为止改动最大的一次,IETF 正在制定 TLS 1.3 的新标准,目前尚在草案阶段 ,可以参考最新草案。相比 TLS 1.2 ,TLS 1.3 的主要区别在于: 新的加密套件只能在 TLS 1.3 中使用,旧的加密套件不能用于 TLS 1.3 连接; 添加了0-RTT 模式,在建立连接时节省了往返时间(以某些安全性为代价); 废除了静态的 RSA( 不提供前向保密 )密钥交换,基于公钥的密钥交换机制现在可提供前向保密; ServerHello 之后的所有握手消息采取了加密操作; TLS 1.2 版本的重协商握手机制已被弃用,TLS 1.3 中重新协商变为不可行了; 相比过去的的版本,会话恢复在服务端是无状态的,使用了新的 PSK 交换; DSA 证书不再允许在 TLS 1.3 中使用; ...

HTTPS系列干货(一):HTTPS 原理详解

发布于 2017-07-31

HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来互联网发展的趋势。 为鼓励全球网站的 HTTPS 实现,一些互联网公司都提出了自己的要求: 1)Google 已调整搜索引擎算法,让采用 HTTPS 的网站在搜索中排名更靠前; 2)从 2017 年开始,Chrome 浏览器已把采用 HTTP 协议的网站标记为不安全网站; 3)苹果要求 2017 年 App Store 中的所有应用都必须使用 HTTPS 加密连接; 4)当前国内炒的很火热的微信小程序也要求必须使用 HTTPS 协议; 5)新一代的 HTTP/2 协议的支持需以 HTTPS 为基础。 等等,因此想必在不久的将来,全网 HTTPS 势在必行。 概念 协议 1、HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。 2、HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 ...

正式开启全站HTTPS

发布于 2016-10-28

最近貌似流行https嘛,看到好多博客都开启了https,于是我也尝试来一波 虽然早前就已经开启了ssl 但是没有强制跳转,80和443都同时可以访问,现在自动跳转https状态加密安全连接 好像也没什么用,就看起来好看一点有个地址栏上有个绿色小锁。   如何开启ssl   可以看之前的那篇文章 Nginx 开启ssl https访问

Nginx 开启ssl https访问

发布于 2016-09-19

刚开始弄觉得好麻烦怎么都不成功,后来无意间发现原来是其他程序占用了443端口   ,害我捣腾了好久,然后因为各种问题 没有启用https  站点所有资源都要使用https才会显示绿色的小锁 server { listen 80; listen 443 ssl; ssl on; ssl_certificate 1_www.moenyi.cn_bundle.crt; ssl_certificate_key 2_www.moenyi.cn.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; server_name www.moenyi.cn moenyi.cn; charset utf8; location / { proxy_pass http://172.16.0.10:80; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }   http跳转https 我选择的是的在80端口设置一个html文件   <html> <meta http-equiv="refresh" content="0;url=https://www.moenyi.cn/"> </html> 然后在nginx的配置里面设置 主页文件指向这个html 顺便设置404错误页直接跳转https error_page  404     ...

WEB服务器安全-防止SSL证书泄露源站IP

发布于 2021-02-06

原本没注意到这块内容,看的论坛上一篇文章写到,有网站大量扫描IP的443 端口读区ssl证书信息 Censys这个网站,我查了一下居然扫描到了我原站的IP https://censys.io/ipv4 设置CDN就是为了加速我海外主机的访问速度,还有就是防止 原本性能非常弱小的主机被DDos 这样的攻击,被扫描到了之后就直接可以对原站主机进行攻击了,CDN也就只是摆设了 最简单的办法就是添加一个默认站点,给默认站点设置一张 自签名的 ssl 证书,证书里面的主机名称可以随意写,比如我就写了 localhost 这样的,尽量少的暴露一些信息 推荐一个生产自签名证书的网站,方便: MySSL:https://myssl.com/create_test_cert.html 然后就把生成的证书配置到刚刚新建的站点上去,并且添加default_server 字段设置成默认站点 nginx -s reload 后去看看效果把

整理收集 获取IP的服务

发布于 2020-08-05

允许使用 CURL: ip.threep.top ifconfig. io ip.fm cip.cc myip.ipip.net ip.sb ifconfig.me checkip.dyndns.com api.myip.com 其他 ip.coderbusy.com 使用示例(Shell脚本): #!/bin/sh ip=$(curl -s https://api.ip.sb/ip) echo "My IP address is: $ip" nginx直接返回服务者IP配置: location / { default_type text/plain; return 200 "$remote_addr\n" ; } //如果显示的IP不正确,可能使用了防火墙cdn之类的,可以试试 把$remote_addr改成$http_x_forwarded_for

服务器SSH登录钉钉通知

发布于 2020-07-23

11月23日更新 看腻了 之前的通知样式,稍微修改了一下 服务器ssh登录之后实现钉钉通知,第一时间掌握服务器登录情况可以看看到登陆的用户、登陆者ip 、服务器ip 等信息非常方便,其实也是非常简单,只要使用 shell命令就可以完成 1、新建一个文件:vi /etc/ssh/sshrc 2、输入内容 3、保存: 按后 esc键后 输入 :wq 进行保存操作 4、输入保存之后设置下执行权限:chmod 755 /etc/ssh/sshrc     即可食用 钉钉机器人不会建 可以百度一下 输入  sh /etc/ssh/sshrc   测试一下 脚本有没有写错,如果没有收到通知,可能是钉钉机器人的安全设置没设置好,可以机器人的安全设置里面 使用 关键词 或者IP,我就使用了关键词"服务器登录告警"  因为方便 如果出现报错,使用:bash /etc/ssh/sshrc   命令测试是否能执行

款帝豪GS中控升级3.9|G-LINK最高支持安卓10

发布于 2020-07-13

16-17款帝豪GS中控升级3.9,G-LINK最高支持安卓10 帝豪GS 16-17款帝豪GS,WinCE车机,安卓系统车机不适用 可连接Glink手机互联 界面无变化 主要解决Glink无法连接安卓10.0手机 改善蓝牙连接的电流声(没实质感觉) 支持关闭收音机(3.8版已经支持) 优化蓝牙gps信号(没有实质感觉) 升级包内包含教程 需准备大sd 电脑、读卡器 在电脑上操作完成后上车升级 感兴趣的来咸鱼找我吧(适当恰饭)   我在闲鱼发布了【16-17款帝豪GS中控升级3.9,G-LINK最高支持安卓】 复制这条消息后,打开闲鱼€HKRw1yFwsxl€后打开闲鱼     下面三个是皮肤  

VMware Horizon Client开机自动登录

发布于 2020-07-12

瘦客户机开机自动登录到 VMware Horizon Client  虚拟桌面 公司使用瘦客户机通过过VMware Horizon Client  客户端登录到服务器中ESXI中虚拟出来的windows桌面 每次开机需要打开 瘦客户机,然后输入密码,然后打开VMware Horizon Client客户端登录 再次输入密码,过程就比较繁琐。想开机登录直接登陆到  VMware 中的桌面 1、设置瘦客户机开机自动登录到桌面,我是win10,直接百度搜 win10 开机自动登录 一大堆 2、建立一个vbs脚本,来启动另一个bat脚本 start.vbs 内容: CreateObject("WScript.Shell").Run"C:\start.bat",0 3、建立启动bat脚本,这个问题我放在c盘,你的位置有变动的话,上面的命令里的位置也要一起修改 satrt.bat 内容: @echo off :loop tasklist| find “VMware Horizon Client” || goto View exit :View "C:\Program Files (x86)\VMware\VMware Horizon View Client\vmware-view.exe" --unattended --serverURL https://192.168.1.200 --userName admin --password 123456 --desktopName admin-pc --connectUSBOnInsert true goto loop   4、其中的--serverURL、--userName、--password 、 --desktopName ,需要修改成对应的,不然启动不了   ...

Nginx移动端和PC端返回不同页面内容且不影响的URL的处理方法

发布于 2020-07-07

一个项目,前端单独给移动端和pc端写了不同的页面,并且设置了两个文件夹,pc/mobile 但是url需要保持不变,叫前端写个js判断一下,前端回复说,这样影响效率,nginx判断比较快 然后就开始了nginx配置之路 毫无撤退可言 要求:保持URL不变,nginx判断移动端和PC端 返回不同文件夹中的内容 实现在url不变的情况下 PC访问展示PC页面的内容,手机访问展示手机的页面     刚开始想着用if来判断用的用户的代UA    ,alias  指定不同的目录 (注意:这种写法是错误的) location /pay/ { if ( $http_user_agent ~ "(iPhone)|(Android)" ){ alias /www/pay/mobile/; }   然后执行   nginx -t    报错 nginx: [emerg] "alias" directive is not allowed here in /etc/nginx/nginx.conf:35 关于if的各种坑,可以查看 https://xwsoul.com/posts/761?tdsourcetag=s_pctim_aiomsg 感觉写的还不错 然后咨询和讨论得到两种解决方法 通过 rewrite 和 location 做两次处理 通过 if 内嵌变量,然后把用alias+变量的方法间接处理 上代码 方案一 location ~ ^/pay(/.*) { set $way $1; if ( ...