事情要说我想申请一个通配符证书说起,从通配符证书到let’s encrypt到OCSP服务器被墙到学习HTTPS证书吊销的奇怪学习链
先在这推荐一下let’s encrypt,免费发放通配符证书,再也不要一个子域名一个子域名的申请啦
证书有效期只有三个月,可以自动更新,但是自动更新需要的OCSP服务器被墙,导致了这篇文章的出现,愚蠢的解决方案是每三个月重新申请新的证书
在这之前,先简单的复习一下HTTPS到底是怎么完成双向认证的
1.服务器向客户端发送证书和公钥,客户端看一下证书的签发单在不在本地安装的证书里面,再看看过期时间,域名对应之类的,用发过来的公钥算一下这个证书和签名对不对得上,有机会还会看看这个证书是不是被吊销了(这就是这篇文章的主题所在)
2.验证通过,客户端产生一个随机数,用公钥加密还给服务器,服务器解密之后这个随机数就是两方的对称加密密钥了
3.开始用对称密钥通信
起因还是最近把博客迁到国内,往常用的Chrome,看自己的Gitpage是有小锁的,心血来潮用Edge试了试自己新注册域名的https,结果居然和我说不安全?让学长用Safari帮忙试了下也显示不安全,就很气,然后进行了一通学习
毕竟Chrome作为”世界上最安全的浏览器”,别人报不安全他报安全就应该是很离谱的事情
查看成因,Edge的警告是证书没问题但是图片可能存在诱骗,后来发现是拉自己QQ头像的那个链接写的是HTTP,而这种在HTTPS中引入HTTP资源的情况就被称为Mixed Content
这显然可能引发奇怪的安全问题,如果在HTTPS中引入了HTTP内容,结果这个HTTP内容被中间人攻击或者DNS污染之类的控制了就很致命,在这样的界面上如果还报安全,那就害人了
总算是等到了管局审核结束,我可爱的网站终于可以开张了,在配置完了HTTPS之后,我发现了一个很不爽的问题,居然直接输入域名访问是默认以http形式访问的,而且还访问的上
也就是说我辛辛苦苦申请的在Chrome上的小锁没了,这显然不行,于是就开始了我与Apache的斗争。。。。
大部分网上的说法都是加htaccess,不是很想维护搞这么多花的,所以最后研究了一下怎么直接修改配置文件从根源解决
各操作系统和各版本Apache配置文件名字都不一样,我的Ubuntu16上的这版叫标题这两个名字,在/etc/apache/site-avaliable目录下
一开始只改了site-avaliable下面的000-default.conf,把Virtual host的端口直接改成443,然后在Directory标签里面加上这堆规则
最近被推荐了一个vpn,流量白嫖,于是开始研究其使用方式,所以研究了一下代理设置之类的东西,水一篇博客
使用工具:clash for windows
一般来说服务提供方都会有对应的转发规则,导入clash之后,会根据目的地对流量进行转发或直连,选择proxies里面的rule选项即可
我感觉大多数人好像都习惯走系统代理,但是我感觉就不太行,系统代理这个名字听起来就感觉威力比较强大,感觉开了之后系统所有的流量都会过代理,就不太行,毕竟节点是白嫖的,不放心
就比如clash,在使用系统代理选项时,会在本地7890端口开一个代理服务器,并把系统代理设置为该端口
专门查了一下,系统代理会使得电脑上能走代理的软件流量均通过系统代理进行转发,不过一般来说只有浏览器这类型的软件会默认跟随代理(steam内置浏览器就可以跟),其他软件一般不会支持代理功能,所以也不怕QQ微信什么的流量会过代理;但是,可以白嫖流量的节点不一定是安全的,搞不好就都被记录下来了,因此我并不希望我所有的流量都通过代理(虽然可以使用规则时的特定流量过代理,但是就是感觉不舒服),这显然是不明智的
想办法把博客整到国内来了,为自己增加一点点击量=.=
也是方便配一下域名https之类的,方便以后测试
GitHub页面会同步更新,但是评论什么的功能可能就不维护了(看了一下说明好像还能正常用)
重置了一遍APP原来好不容易积攒下来的阅读量和评论清零了呜呜呜
新的博客链接
https://blog.z3ratu1.cn
域名还在备案,过两天应该就能用了