摘要：1 双向ssl 2 双向对商家太麻烦 nounce➕timestamp防重放 商家作为客户端生成订单号，支付宝作为服务端幂 阅读全文

摘要：1 抓包的防护措施 1.1 禁用系统代理 没用，安卓用drony，ios用shadowrocket（美区）转发流量 https://www.cnblogs.com/lulianqi/p/11380794.html 1.2 ssl pinning https://www.cnblogs.com/and 阅读全文

摘要： 阅读全文

摘要：0 为什么有https了还要防中间人 1）用户终端证书库几年不更新 2）用户/合作方客户端 被诱导安装过来历不明的根证书 3）CA被攻破 插一句，CA链的核心价值： 1 防中间人的方式 信任系统区域根证书库-安卓7不信任，锚定 1）自己的公钥 2）自己的证书，即可信任的中间ca证书为自己的公钥签发的 阅读全文

摘要： 阅读全文

摘要：假如能有中间ca资质，则将公钥给root机构私钥签名，然后拿着自己的私钥给网站公钥签发证书，也可以在任意网络截取流量而用户无感所谓失信机构，就是泄漏了私钥的机构 阅读全文

摘要：要表示身份，appid够了，要加密加签，服务端就有这个密钥，传过去徒增被拦截风险 考虑到客户端之不可信，三方程序员很有可能不验证签名直接完成握手，secret有很大可能泄漏 可以用secret作为盐（对称密钥）来签名，用secret给appid➕时间戳sha2或md5签名再base64（一个字符co 阅读全文

摘要：1 X500Name canamem = new X500Name(caCertificate.getSubjectX500Principal().getName()); 改为 X500Name issuerName = new JcaX509CertificateHolder(caCertific 阅读全文

摘要：1 brew install mkcert mkcert -CAROOT 没有 2 mkcert -install mkcert -CAROOT 有了 3 启动MyFiddler，手机连接，失败 4 拷贝原key和证书至root目录 再次mkcert -install 5 好了 6 公钥摘要 pub 阅读全文

摘要：。 阅读全文

摘要：二层vpn，只修改数据链路层的以太网帧，不修改三层ip包 此外以太网帧的body部分<MTU 三层vpn，修改ip包： 客户端：加密原ip包（首部ip字段是目标ip） 外面套一个ip包（首部ip字段是代理ip） 服务端：拿到ip包body，解密，发送到目标IP，这个过程不涉及四层tcp/udp包的修 阅读全文

摘要：私钥加密信息流返回给客户端，但应确保信息没有敏感信息，因为公钥的不可信任性 这一串不可伪造因为只有登陆的网关有私钥，网关可以把公钥分发给其他服务 能否被第三者窃听取决于SSL实现的如何 优点 不占用服务器空间 任何人无法伪造，因为私钥孤立的在服务器上 任何人可以解密，所以不应当放敏感信息 我完全不支 阅读全文

摘要：1 p2p 两个均处于私网的设备（无公网 IP）无法直接发现和连接 端口映射协议：UPnP / NAT-PMP（主动 “开门”） 适用于支持该协议的路由器，让内网设备主动告诉路由器 “开放特定端口”，本质是 “主动建立固定的 NAT 映射”。 内网设备（如 P2P 软件）通过 UPnP（通用即插即用 阅读全文

摘要：可以看到服务器发过来的证书链与U盾密码学（三）保护一个密码【重要】中私钥节点的证书链一致 服务器把p12中私钥节点的证书链给tls handshake请求者 另一种方式：keytool -printcert -sslserver <hostname>:<port> 已经在（二）中用到 U盾密码学（二 阅读全文

摘要：https://segmentfault.com/a/1190000042062501 Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 阅读全文

摘要：1 B2B有个特征，密钥可以面对面给，认证不必借助CA认证公钥身份再使用公钥 服务器把公钥直接给客户端，通信时送来的公钥，我把它跟面对面送来的验一下 这样客户端就能信任服务端 如果照葫芦画瓢给客户端也来一套，就变成了双向ssl ca是解决网络上公钥无法面对面给的缺陷，引入ca私钥从而证明身份；浏览器 阅读全文

摘要：这个密码的特征是防泄漏不妨篡改，所以解决的是U盾密码学【重要】中的第1类问题-公钥加密私钥解密 用app的公钥加密 这个星球上只有app的私钥能解密 借助app私钥安全的权威性做背书 质疑密码的安全性，就是质疑app私钥的安全性；而私钥的安全性是不适合被质疑的。 从 KeyStore 中获取 Pub 阅读全文

摘要：https代理服务器（三）实践 开始使用mkcert https原理（三）双向实践（curl） 1双向为什么能抵抗中间人【重要】 2mkcert签发客户端 springboot服务端，验证客户端证书，81de69b2a5f3032e8eaa98ef3c157373ce9aa609 server.ss 阅读全文

摘要：1 mongo相关的参数 --tlsAllowConnectionsWithoutCertificates 允许客户端连接而不提供证书 --tlsAllowInvalidHostnames 允许服务器证书提供不匹配的主机名 --tlsAllowInvalidCertificates 允许连接到证书无 阅读全文

摘要：about health check api: PeriodTLS termination modesprint boottcp tunnelhealth checkcomment before Sept 2023 edge http 20000 / http 20000 Sept 2023 - A 阅读全文