HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。 本书适合Web开发人员、系统管理员和所有对Web应用安全感兴趣的读者。
简介
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。 本书适合Web开发人员、系统管理员和所有对Web应用安全感兴趣的读者。
版权
出版社人民邮电出版社
出版时间2016年9月
字数415,447
分类计算机-理论知识
热门划线
HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI
伊万·里斯蒂奇
- 版权信息
- 数字版权声明
- 作者简介
- 内容提要
- 版权声明
- 前言
- 第1章 SSL、TLS和密码学
- 1.1 传输层安全
- 1.2 网络层
- 1.3 协议历史
- 1.4 密码学
- 第2章 协议
- 2.1 记录协议
- 2.2 握手协议
- 2.3 密钥交换
- 2.4 身份验证
- 2.5 加密
- 2.6 重新协商
- 2.7 应用数据协议
- 2.8 警报协议
- 2.9 关闭连接
- 2.10 密码操作
- 2.11 密码套件
- 2.12 扩展
- 2.13 协议限制
- 2.14 协议版本间的差异
- 第3章 公钥基础设施
- 3.1 互联网公钥基础设施
- 3.2 标准
- 3.3 证书
- 3.4 证书链
- 3.5 信赖方
- 3.6 证书颁发机构
- 3.7 证书生命周期
- 3.8 吊销
- 3.9 弱点
- 3.10 根密钥泄露
- 3.11 生态系统评估
- 3.12 进步
- 第4章 攻击PKI
- 4.1 VeriSign签发的Microsoft代码签名证书
- 4.2 Thawte签发的login.live.com
- 4.3 StartCom违规(2008)
- 4.4 CertStar(Comodo)签发的Mozilla证书
- 4.5 伪造的RapidSSL CA证书
- 4.6 Comodo代理商违规
- 4.7 StartCom违规(2011)
- 4.8 DigiNotar
- 4.9 DigiCert Sdn. Bhd.
- 4.10 火焰病毒
- 4.11 TURKTRUST
- 4.12 ANSSI
- 4.13 印度国家信息中心
- 4.14 广泛存在的SSL窃听
- 4.15 CNNIC
- 第5章 HTTP和浏览器问题
- 5.1 sidejacking
- 5.2 Cookie窃取
- 5.3 Cookie篡改
- 5.4 SSL剥离
- 5.5 中间人攻击证书
- 5.6 证书警告
- 5.7 安全指示标志
- 5.8 混合内容
- 5.9 扩展验证证书
- 5.10 证书吊销
- 第6章 实现问题
- 6.1 证书校验缺陷
- 6.2 随机数生成
- 6.3 心脏出血
- 6.4 FREAK
- 6.5 Logjam
- 6.6 协议降级攻击
- 6.7 截断攻击
- 6.8 部署上的弱点
- 第7章 协议攻击
- 7.1 不安全重新协商
- 7.2 BEAST
- 7.3 压缩旁路攻击
- 7.4 Lucky 13
- 7.5 RC4缺陷
- 7.6 三次握手攻击
- 7.7 POODLE
- 7.8 Bullrun
- 第8章 部署
- 8.1 密钥
- 8.2 证书
- 8.3 协议配置
- 8.4 密码套件配置
- 8.5 服务器配置和架构
- 8.6 问题缓解方法
- 8.7 钉扎
- 8.8 HTTP
- 第9章 性能优化
- 9.1 延迟和连接管理
- 9.2 TLS协议优化
- 9.3 拒绝服务攻击
- 第10章 HTTP严格传输安全、内容安全策略和钉扎
- 10.1 HTTP严格传输安全
- 10.2 内容安全策略
- 10.3 钉扎
- 第11章 OpenSSL
- 11.1 入门
- 11.2 密钥和证书管理
- 11.3 配置
- 11.4 创建私有证书颁发机构
- 第12章 使用OpenSSL进行测试
- 12.1 连接SSL服务
- 12.2 测试升级到SSL的协议
- 12.3 使用不同的握手格式
- 12.4 提取远程证书
- 12.5 测试支持的协议
- 12.6 测试支持的密码套件
- 12.7 测试要求包含SNI的服务器
- 12.8 测试会话复用
- 12.9 检查OCSP吊销状态
- 12.10 测试OCSP stapling
- 12.11 检查CRL吊销状态
- 12.12 测试重新协商
- 12.13 测试BEAST漏洞
- 12.14 测试心脏出血
- 12.15 确定Diffie-Hellman参数的强度
- 第13章 配置Apache
- 13.1 安装静态编译OpenSSL的Apache
- 13.2 启用TLS
- 13.3 配置TLS协议
- 13.4 配置密钥和证书
- 13.5 配置多个密钥
- 13.6 通配符和多站点证书
- 13.7 虚拟安全托管
- 13.8 为错误消息保留默认站点
- 13.9 前向保密
- 13.10 OCSP stapling
- 13.11 配置临时的DH密钥交换
- 13.12 TLS会话管理
- 13.13 客户端身份验证
- 13.14 缓解协议问题
- 13.15 部署HTTP严格传输安全
- 13.16 监视会话缓存状态
- 13.17 记录协商的TLS参数
- 13.18 使用mod_sslhaf的高级日志记录
- 第14章 配置Java和Tomcat
- 14.1 Java加密组件
- 14.2 Tomcat
- 第15章 配置Microsoft Windows和IIS
- 15.1 Schannel
- 15.2 Microsoft根证书计划
- 15.3 配置
- 15.4 保护ASP.NET网站应用的安全
- 15.5 Internet信息服务
- 第16章 配置Nginx
- 16.1 以静态链接OpenSSL方式安装Nginx
- 16.2 启用TLS
- 16.3 配置TLS协议
- 16.4 配置密钥和证书
- 16.5 配置多密钥
- 16.6 通配符证书和多站点证书
- 16.7 虚拟安全托管
- 16.8 默认站点返回错误消息
- 16.9 前向保密
- 16.10 OCSP stapling
- 16.11 配置临时DH密钥交换
- 16.12 配置临时ECDH密钥交换
- 16.13 TLS会话管理
- 16.14 客户端身份验证
- 16.15 缓解协议问题
- 16.16 部署HTTP严格传输安全
- 16.17 TLS缓冲区调优
- 16.18 日志记录
- 第17章 总结
- 本书主要内容:
- 看完了