發表於2024-11-22
深入淺齣 HTTPS:從原理到實戰 pdf epub mobi txt 電子書 下載
★國內鮮有的專業HTTPS書籍,HTTPS實踐指南
★集理論與實踐於一體,由淺入深、通俗易懂
★以TLS 1.2協議為主,描述前沿的知識和工具
★全方位深刻解剖Web安全相關體係結構的知識
★作者有十多年一綫實踐經驗,深刻理解Web精髓
★本書不僅是HTTPS專著,更是經驗和方法論分享
★書中含大量實例,極具實踐性,讀者更好理解
★如果你想瞭解Web安全、部署HTTPS網站、
部署HTTP/2網站、優化網站性能,
那麼本書是你的一個極好的選擇。
《深入淺齣 HTTPS:從原理到實戰》是一本專業的HTTPS書籍,全麵講解瞭HTTPS領域的相關知識,內容包括密碼學、OpenSSL命令行、證書、TLS協議、HTTPS網站性能優化、HTTPS網站優秀實踐、大型網站HTTPS架構設計等。《深入淺齣 HTTPS:從原理到實戰》有幾個特點:(1)內容全麵而新穎,基於RFC文檔、國外書籍、社區等一手資料,總結瞭大部分新的HTTPS知識;(2)由淺入深,從基礎到進階全麵掌握HTTPS,讀者能夠輕鬆構建一個HTTPS網站,並使網站安全性和性能大化,對於大型網站的HTTPS係統架構和應用架構設計也有指導意義;(3)內容通俗易懂,用語描述精準,充分考慮到讀者的閱讀和思考習慣,隻要具備基礎的HTTPS知識和Linux知識就能無障礙閱讀;(4)理論結閤實踐,本書除瞭讓讀者掌握HTTPS的交互細節,更注重實踐,介紹瞭很多工具,讓讀者更好地掌握HTTPS;(5)具有啓發性,讀者可以通過《深入淺齣 HTTPS:從原理到實戰》開啓密碼學和HTTPS學習之門,真正做到“深入”。
HTTPS(TLS協議)重點在於密碼學,互聯網安全是首位的,所以任何技術領域(比如目前火爆的區塊鏈)都需要密碼學和HTTPS(TLS協議)知識,架構人員、開發人員、運維人員都適閤閱讀《深入淺齣 HTTPS:從原理到實戰》。
虞衛東,網名虞大膽,新浪網高級技術經理。曾先後供職過新浪博客産品部和趕集網移動事業部。在新浪博客工作多年,擔任過開發工程師、技術經理、應用架構師等,負責新浪博客的開發、運維、設計、性能優化等工作。在趕集網擔任過技術總監,負責趕集網客戶端後端開發工作。十餘年來一直緻力於Web後端開發,積纍瞭豐富的架構設計、開發、運維經驗,擅長PHP、Python等開發語言。
本書集理論、協議細節、漏洞分析、架構部署於一體,是一份非常詳盡的Web應用安全指南,作者是一個具有10多年大型網站開發經驗的一綫開發者和資深架構師。在本書中,作者站在開發者的角度,從密碼學基礎、TLS協議、PKI體係、HTTPS安全及性能、安全網站實踐等方麵,全方位解讀瞭HTTPS,本書也是作者多年工作經驗的總結。更難得的是,雖然密碼學、HTTPS相關知識比較晦澀,但是本書閱讀起來非常輕鬆,強烈建議對HTTPS技術有需求的讀者閱讀本書。
——新浪郵箱技術負責人、資深架構師 硃歡
衛東深入淺齣地從概念、理論、指令、實操等多個層次、多個角度對HTTPS做瞭完整的闡述,本書是學習密碼學基礎、網絡開發和安全知識不可多得的一本好書。本書手把手引導讀者如何應用HTTPS,入門門檻低,同時內容很有深度,對於高階HTTPS用戶來說也有很多值得參考和藉鑒的地方。本書也可以當作一本網絡安全科普書來讀,感謝作者的辛勤付齣!
——原京東商城網站首席架構師 隋劍峰
本書由淺入深、通俗易懂地講述瞭HTTPS原理,並給齣實例方便讀者加深理解。通讀本書對於開發、安全、架構等都非常有幫助,對於每一位優秀的開發者來說,如果希望構建更安全、更可靠的係統,那麼本書非常值得一讀,並可以增強內功!
——醫渡雲安全總監 劉袁君
HTTP設計之初就沒有考慮安全性問題,導緻信息泄露、流量劫持等安全問題頻齣,現如今BATJ等互聯網公司都完成瞭全站HTTPS的遷移,HTTPS是大勢所趨,但是部署HTTPS是一個係統工程,稍有不慎,就有可能適得其反,導緻用戶訪問延時增加,吞吐率下降。本書係統地講述瞭HTTPS的上下遊知識,既有密碼學理論,又有工程實踐,相信會對閱讀本書的你很有幫助。
——京東金融技術專傢 吳建苗
第1章 HTTP介紹 1
1.1 什麼是Web 1
1.1.1 廣義理解Web 1
1.1.2 Web的組成 2
1.2 理解HTTP 4
1.2.1 HTTP的定義 4
1.2.2 HTTP語義 5
1.2.3 HTTP的特點 8
1.3 網絡模型 9
1.3.1 TCP/IP概述 9
1.3.2 Socket和TCP 12
1.4 協議安全分析 13
1.4.1 安全問題舉例 13
1.4.2 協議不安全的根本原因 14
1.5 Web應用安全 15
1.5.1 瀏覽器、HTML和JavaScript 16
1.5.2 W3C 17
第2章 密碼學 19
2.1 對於密碼學的認知 19
2.1.1 基本認知 19
2.1.2 密碼學的四個目標 21
2.1.3 OpenSSL 22
2.2 隨機數 25
2.2.1 隨機數的類型 25
2.2.2 隨機數的工作原理 26
2.2.3 常見的隨機數生成器 26
2.2.4 密碼學算法中的隨機數 27
2.3 Hash算法 27
2.3.1 加密基元 28
2.3.2 Hash算法和密碼學Hash算法 28
2.3.3 密碼學Hash算法的特性 29
2.3.4 Hash算法的用途 29
2.3.5 什麼是安全的密碼學Hash算法 30
2.3.6 密碼學Hash算法的分類 31
2.4 對稱加密算法 33
2.4.1 流密碼算法 34
2.4.2 塊密碼算法 36
2.4.3 填充標準 41
2.4.4 對稱加密算法實踐 42
2.5 消息驗證碼 47
2.5.1 什麼是消息驗證碼 47
2.5.2 MAC算法的種類 49
2.5.3 消息驗證碼算法實踐 49
2.5.4 加密算法不能提供完整性 50
2.5.5 AD加密模式 52
2.5.6 AEAD加密模式 53
2.6 公開密鑰算法 54
2.6.1 理解RSA的內部結構 55
2.6.2 PKCS標準 56
2.6.3 RSA加密算法的應用場景 58
2.6.4 RSA加密算法實踐 59
2.7 密鑰 62
2.7.1 生成密鑰 63
2.7.2 口令和PEB算法 63
2.7.3 密鑰存儲和傳輸 66
2.8 密鑰協商算法 67
2.8.1 RSA密鑰協商算法 68
2.8.2 DH密鑰協商算法 69
2.8.3 DH算法分類 71
2.8.4 DH密鑰協商算法實踐 71
2.9 橢圓麯綫密碼學 73
2.9.1 ECC算法的基本模型 74
2.9.2 使用OpenSSL瞭解命名麯綫 75
2.9.3 ECDH協商算法 76
2.9.4 命名麯綫 77
2.10 數字簽名 79
2.10.1 數字簽名的用途 79
2.10.2 數字簽名的流程 80
2.10.3 RSA數字簽名算法 81
2.10.4 RSA數字簽名實踐 81
2.11 DSA數字簽名算法 83
2.11.1 內部結構 84
2.11.2 DSA算法實踐 85
2.11.3 ECDSA算法 87
2.11.4 ECDSA算法實踐 88
2.12 算法安全性和性能 90
2.12.1 密鑰長度與算法安全性 90
2.12.2 密碼學性能 91
第3章 宏觀理解TLS 101
3.1 TLS/SSL協議綜述 101
3.1.1 TLS/SSL協議的曆史 101
3.1.2 正確認知TLS/SSL協議 102
3.1.3 TLS/SSL協議的目標 103
3.1.4 OpenSSL和TLS/SSL的關係 104
3.1.5 HTTPS和TLS/SSL的關係 105
3.1.6 TLS/SSL協議的一些實現 106
3.2 TLS/SSL協議背後的算法 107
3.2.1 加密算法和MAC算法 107
3.2.2 密鑰協商算法 108
3.2.3 前嚮安全性 110
3.2.4 密鑰衍生算法 111
3.2.5 中間人攻擊 112
3.2.6 PKI 114
3.3 HTTPS總結 117
3.3.1 握手 119
3.3.2 加密 125
3.4 實施HTTPS網站的必備條件 125
3.4.1 證書和密鑰對 126
3.4.2 部署和配置HTTPS網站 126
3.4.3 全站HTTPS策略 127
3.5 從用戶的角度看HTTPS 128
3.5.1 綠色小鎖圖標 128
3.5.2 TLS/SSL握手失敗 129
3.5.3 混閤內容 131
第4章 選擇HTTPS的必要性和疑惑 134
4.1 部署HTTPS的疑惑 134
4.1.1 網站好像沒有隱私數據 134
4.1.2 復雜性 135
4.1.3 成本 137
4.1.4 性能 137
4.1.5 外部資源不支持HTTPS 138
4.1.6 收益和時間對比 139
4.2 部署HTTPS的必要性 140
4.2.1 HTTP/2帶來的性能提升 140
4.2.2 趨勢 140
4.2.3 企業形象 142
4.2.4 HTML5的特性 142
4.2.5 iOS ATS的安全要求 143
4.2.6 Chrome和Firefox所做的努力 143
4.2.7 SEO排名和榖歌Analytics 144
第5章 快速搭建一個HTTPS網站 145
5.1 HTTPS網站構建分析 145
5.2 獲取證書和密鑰對 146
5.2.1 自簽名證書 147
5.2.2 嚮CA機構申請證書 148
5.2.3 使用Let’s Encrypt證書 149
5.3 部署證書和密鑰對 150
5.3.1 Nginx配置 150
5.3.2 Apache配置 151
5.4 測試HTTPS 152
5.5 301重定嚮 154
5.6 HSTS 155
5.6.1 什麼是HSTS 155
5.6.2 HSTS實踐 158
5.6.3 瀏覽器支持 158
5.6.4 HSTS Preloading 159
5.7 CSP 159
5.7.1 如何消除混閤內容 159
5.7.2 什麼是CSP 160
5.7.3 瀏覽器的兼容性 161
5.7.4 CSP實踐 161
第6章 證書 165
6.1 X.509標準和PKI 165
6.1.1 X.509標準 166
6.1.2 PKI的組成 166
6.1.3 X.509標準的內容 167
6.2 證書 167
6.2.1 ASN.1 167
6.2.2 證書結構 168
6.2.3 CSR 172
6.2.4 證書擴展 174
6.2.5 證書分類 177
6.3 證書鏈 180
6.3.1 證書類型 180
6.3.2 信任原理 182
6.3.3 信任鏈校驗 183
6.3.4 信任錨 184
6.3.5 委派和交叉認證 186
6.3.6 證書完整校驗 189
6.4 CRL 190
6.4.1 證書過期和吊銷 190
6.4.2 證書被吊銷的原因 191
6.4.3 CRL是什麼 191
6.4.4 CRL校驗 192
6.4.5 CRL的結構 193
6.4.6 CRL存在的問題 195
6.5 OCSP 196
6.5.1 OCSP是什麼 196
6.5.2 OCSP模型概述 197
6.5.3 OCSP詳解 200
6.6 OCSP封套 204
6.6.1 OCSP的優缺點 204
6.6.2 OCSP封套的工作原理 205
6.6.3 OCSP封套的優點 206
6.6.4 OCSP封套的兼容性 207
6.7 OpenSSL命令行管理證書 207
6.7.1 證書格式 207
6.7.2 證書的其他格式 208
6.7.3 獲取綫上證書 209
6.7.4 導入證書到根證書庫 213
6.7.5 OpenSSL管理CSR 216
6.7.6 OpenSSL生成證書 218
6.7.7 OpenSSL查看證書 218
6.7.8 校驗CRL 224
6.7.9 校驗OCSP 227
6.7.10 校驗OCSP封套 232
6.8 其他 233
6.8.1 如何選擇一個CA機構 233
6.8.2 證書的透明度 236
第7章 Let’s Encrypt免費證書 244
7.1 Let’s Encrypt 244
7.1.1 Let’s Encrypt CA機構的特點 244
7.1.2 Let’s Encrypt證書的特點 245
7.2 Let’s Encrypt工作原理 248
7.2.1 域名校驗過程 248
7.2.2 請求、更新、續期、撤銷證書流程 249
7.3 Certbot客戶端 249
7.4 Let’s Encrypt的其他信息 264
第8章 TLS協議分析 267
8.1 如何理解RFC文檔 267
8.2 描述語言 270
8.3 TLS/SSL協議概述 273
8.4 TLS記錄層協議 278
8.5 TLS/SSL握手協議 288
8.6 擴展 306
8.7 基於Session ID的會話恢復 316
8.8 SessionTicket 319
8.9 使用Wireshark學習TLS/SSL協議 325
第9章 HTTPS性能和安全 347
9.1 密碼套件 347
9.2 安全性 364
9.3 性能 385
第10章 HTTPS網站實戰 414
10.1 工具化配置HTTPS 414
10.2 自動化測試HTTPS網站 426
10.3 OpenSSL命令行工具 439
10.4 實戰HTTPS網站部署 454
10.5 大型網站部署HTTPS 471
序1
——原新浪産品事業部副總經理 王廼悅
我們的網站、我們的App、我們的小程序是否有必要升級到HTTPS呢?這並不是一個新鮮的問題,幾年來一直睏擾著大傢。2015年百度搜索引擎完成其曆史上最大的係統性升級——全麵由HTTP升級到HTTPS;2016年蘋果公告要求App Store中的所有應用在2017年1月1日之後都必須使用HTTPS加密連接;2017年1月9日微信上綫小程序後,要求開發者的所有服務端請求必須為HTTPS;同時Google已調整搜索引擎算法,讓采用HTTPS的網站在搜索結果中排名更靠前,並宣布從2018年7月開始所有的HTTP網站將標記為“不安全”。是否有必要將係統升級到HTTPS,答案顯而易見!
當下的互聯網已不是20年前隻提供新聞資訊、郵件收發服務的簡單互聯網瞭,更不是讓你安心網上衝浪的“潔淨”互聯網。互聯網尤其是移動互聯網,已經成為人們依賴度相當高的工具,餐飲、電影、購物、金融理財,甚至買汽車、租房、打車等都離不開它,移動互聯網已完成産品和服務的交易閉環。服務內容的升級與飛速發展,進一步放大瞭數據安全、被劫持或泄露的風險。近些年,用戶數據泄露、流量劫持、頁麵篡改等安全事件頻發,這些安全事件往往會給個人或公司帶來非常大的經濟損失。
安全問題已成為企業的生存之本,而HTTP天然的安全弊端可能會讓企業産生不可挽迴的巨大損失。在HTTP模式下,搜索或訪問請求以“明文信息”,經過代理服務器、路由器、WiFi熱點、服務運營商等“中間人”通路,這就形成瞭“中間人”獲取數據、篡改數據的可能。係統升級到HTTPS是企業的必行之路。
不就是做一個從HTTP到HTTPS的切換嗎?其實,背後卻是一個復雜的工程。係統從HTTP升級到HTTPS,並不是讓Web服務器支持HTTPS協議這麼簡單,還需要考慮CDN、負載均衡、反嚮代理等服務器。同時要考慮在何種設備上部署證書及私鑰,涉及網絡架構和應用架 深入淺齣 HTTPS:從原理到實戰 下載 mobi epub pdf txt 電子書
書很好 步驟寫得非常詳細 點贊贊贊贊贊贊
評分這本沒有損壞,對書內容期待
評分618活動買的一堆書,很值,慢慢看
評分書的質量還不錯,包裝也還行,整體滿意
評分都是學習必備的工具書,適閤人手一本,不錯
評分老公買的,有券還是比較優惠,好評
評分聽說這本書很好很好,不知道真假,以後追評
評分很好很好很好很好很好很好很好很好很好
評分還可以,得要好好學習長點知識
深入淺齣 HTTPS:從原理到實戰 pdf epub mobi txt 電子書 下載