MacOSX安装新版openssl问题

由于Mac系统再带的openssl版本太低,目前还是0.9.8系列(OpenSSL 0.9.8zh 14 Jan 2016) 主流协议、套件都不支持。比如:tls1.2、Google CT。

以前都是通过brew install openssl 解决

可是现在不行了,发现其作用的还是旧版,就算是执行 brew link openssl –force

Read More

如果HPKP被黑客利用对HTTPS的影响

公钥固定(Public Key Pinning)「RFC7469」 可以指明在多长时间内哪些CA可以为你颁发证书,以及你只信任哪张证书。

如果黑客渗透到你的服务器,为你偷偷开启HPKP,将是一件很难被发现,但是对你网站影响非常大的事情,也许你发现时已经束手无策。

这种情况也会发生在你错误的设置HPKP或忘记维护HPKP。

Read More

使用openssl检测证书ocsp吊销状态

如果证书被用来签署木马病毒,或者私钥泄漏进行重新颁发,证书颁发机构(CA)会对原证书进行吊销,客户端会在验证证书有效性时检查证书是否被吊销。早期的吊销检测主要通过CRL(证书吊销列表)进行,更新周期一般以天为单位,现在主要通过OCSP(在线证书状态协议)进行更快速的检测,TLS还支持OCSP Stapling扩展在SSL握手时进行加速。

那么我们如何手动检测一张证书是否被吊销呢?

Read More