256位加密，是SSL证书中重要的部分。通常，SSL中使用的加密算法是指不对称加密，即使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。 在实际应用中，数据加密并非是通过非对称加密完成的，而是对称加密。使用公钥/私钥对仅为了验证。当客户端和服务器第一次相遇时，他们都需要验证对方的身份。验证通过公钥/私钥对来完成，这就是非对称加密所扮演的角色。一旦完成身份验证后，执行TLS握手，实际加密就会开始，并通过对称加密完成。 什么是256位加密？ 256位加密是指对称加密技术的密钥长度。即该密钥由256个二进制（0和1）组成，并且有256个随机组合。 例如：假设有一个2位数的密钥。因此，它将有22=4个值，即 00,01,10和11。因此，256位密钥可以有2256个可能的组合。 256位加密的安全性如何？ “256位加密有多安全？”“256位加密是否足够？”这是加密级别中最常见的两个问题。而现在我们给出的答案是：绰绰有余。之所以给出这个肯定的答案是因为所谓的“数学”。 如果想破解一个加密密钥，那就只有一种方法，那就是“蛮力”，简单来说就是试错。因此，如果密钥长度是256位，则会有2 256个可能的组合，并且在得出结论之前，黑客必须尝试2 255个可能的组合中的大部分（通常，需要大约50％的密钥才能得到正确的组合） 。 2 256可能看起来像一个正常的数字，但不要低估它的力量。256位将有115,792,089,237,316,195,423,570,985,008,687,907,853,269,984,665,640,564,039,457,584,007,913,129,639,936（78位数字）的可能组合。目前地球上还有没有一台超级计算机可以破解。 即使使用世界上最快的超级计算机天河二号（MilkyWay-2），也需要数百万年来破解256位加密。 那么您还需要怀疑256位加密的安全性吗？  

HTTP转换到HTTPS常见的解决方案是部署SSL证书来升级。只有正确部署了SSL证书才能使用安全的HTTPS。但有时候，客户端使用http进行访问时，HTTP协议没有跳转到HTTPS。为了解决这种局面，下面介绍Tomcat 服务器实现HTTP自动转换到HTTPS的方法。 Tomcat 实现HTTP自动转换到HTTPS方法介绍 方法一： 需要做两个地方改动。 1：server.xml 中配置ssl证书的端口要改成默认的“443”端口，如果已经修改，请直接操作第二步； 2:在web.xml配置文件中添加节点代码：如下 <web-app> ……… <security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> </web-app> 3：回到server.xml 配置文件中找到80端口的节点，里面有默认这个属性是 redirectPort=”8443″ 要改成 “443” 保存重启即可。 方法二： 1、配置Tomcat，打开$CATALINA_HOME/conf/server.xml，修改如下 <Connector port=”8080″ protocol=”HTTP/1.1″ connectionTimeout=”20000″ redirectPort=”8443″ /> 修改参数==> <Connector port=”80″ protocol=”HTTP/1.1″ connectionTimeout=”20000″ redirectPort=”443″ /> <!– <Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true” maxThreads=”150″ scheme=”https” secure=”true” clientAuth=”false” sslProtocol=”TLS” /> –> 去掉注释且修改参数==> <Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol” SSLEnabled=”true” maxThreads=”150″ scheme=”https” secure=”true” clientAuth=”false” sslProtocol=”TLS” keystoreFile=”d:/dev/tomcat.keystore” keystorePass=”123456″ /> <!– <Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ /> –> 修改参数==> <Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ /> 二、局部https安全连接配置，打开web项目\WEB-INF\web.xml文件，在该文件</welcome-file-list>后面加上这样一段： <!– 局部https安全连接配置 –> <security-constraint> <display-name>Auth</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <!– <url-pattern>/index/json/login</url-pattern> <url-pattern>/admin/json/admin/companyLogin</url-pattern> <url-pattern>/admin/companyLogin</url-pattern> <url-pattern>/admin/agentLogin</url-pattern> –> <url-pattern>/user/*</url-pattern> <url-pattern>/main/index</url-pattern> </web-resource-collection> <user-data-constraint> <description>SSL required</description> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 上述配置完成后，重启TOMCAT后即可以使用SSL。IE地址栏中可以直接输入地址不必输入“http://” 或者 ... 更多

在Nginx系统中，不少站长遇到这样的问题，配置好HTTPS证书，可以实现访问。可是在输入网址直接是到http网站而非https，每次需要输入https。这种访问方式让各大站长都感到很郁闷。为了解决Nginx系统的这种烦恼，下面介绍两种常用的解决方式： 方法一：在配置80端口的文件里面，写入以下内容即可。 server { listen    80; server_name trustauth.cn; rewrite ^(.*)$ https://$host$1 permanent;   location / { root  html; index index.html index.htm; } javascript单独页面通用代码段：以下方法较适合做seo搜索或指定某一个子页单独https 在需要强制为https的页面上加入以下代码进行处理 <script type=”text/javascript”> var url = window.location.href; if (url.indexOf(“https”) < 0) { url = url.replace(“http:”, “https:”); window.location.replace(url); } </script> PHP页面跳转：添加在网站php页面内 if ($_SERVER[“HTTPS”] <> “on”) { $xredir=”https://”.$_SERVER[“SERVER_NAME”].$_SERVER[“REQUEST_URI”]; header(“Location: “.$xredir); } 方法二： Nginx配置Http跳转到Https，需要修改Nginx.conf配置文件： server { listen       443; server_name  www.trustauth.cn;   ssl                  on; ssl_certificate      ca.pem; ssl_certificate_key  ca.key; ssl_session_timeout  5m; ssl_protocols  SSLv2 SSLv3 TLSv1; ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers   on; error_page 497 “https://$host$uri?$args”; #这是跳转Http请求到Https   location / { root   html; index  index.html index.htm; } } server { listen 80; server_name www.trustauth.cn; rewrite ... 更多

美国国家标准与技术研究院在2001年11月发布了密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。自2006年起，高级加密标准已然成为对称密钥加密中最流行的算法之一。 什么是SSL的NIST加密标准？ SSL证书作为现在流行的加密的证书之一，其使用的加密技术与高级加密标准具有密切的关系。 NIST SP 800-175B第3节所述，NIST将其加密标准分为三类： 加密哈希函数 对称密钥算法 非对称密钥算法 加密哈希函数 加密散列函数实际上只是将数据映射到固定长度输出的加密方法。为确保数据的完整性提供了一个安全有效的方法。日常所提到的数据安全是指数据没有被改变或篡改。如发送方正在使用SHA-256来散列文件。当用户收到数据时，可以执行相同的哈希函数，如果这些值匹配，则数据未被更改，是完整的。在加密哈希函数中，即使对数据的最小改动也会导致完全不同的散列值。 对称与非对称密钥算法 这两者都是使用算法来加密数据，差异来解密。非对称加密也被称为单向加密，其密钥是不一样的。在SSL握手期间，最常见的是客户端使用公钥解密，服务器使用私钥解密。而对称加密是双向加密，密钥既可以加密又可以解密。 什么是散列函数的NIST加密标准？ FIPS 180  指定SHA-1，SHA-224，SHA-256，SHA-384，SHA-512，SHA-512/224和SHA-512/256散列函数。这些有时被称为SHA-1和SHA-2，连字符后面的数字表示输出的加密长度。目前，为了数字签名的安全，SHA-1已被弃用，但可继续用于其他散列的大部分功能。 此外，FIPS 202概述了在-224，-256，-384和-512输出长度上使用SHA-3。不久的未来即将出现更多关于使用SHA-3的指导。 什么是对称密钥算法的NIST加密标准？ 是指基于分组密码算法或基于散列的函数，目前已有几种对称算法被NIST批准使用。 分组密码算法 数据加密标准（DES） 三重数据加密算法（TDEA或三重DES） 高级加密标准（AES） 基于散列的函数 HMAC 什么是非对称密钥算法的NIST加密标准？ 非对称加密算法往往比对称加密算法容量更大，更复制。有几种非对称算法被NIST批准使用。他们是： 数字签名算法（DSA） 椭圆曲线数字签名算法（ECDSA） RSA Diffie-Hellman MQV 什么是加密强度的NIST加密标准？ 加密强度是决定加密整体强度的关键因素。加密强度可衡量攻击者破解加密的难度有多大。联邦政府批准的安全强度是112,128,192和256之前，允许使用80位，但目前已被认为是不安全的。

目前，网络传输协议已逐步倾向于HTTPS加密协议。而HTTP升级到HTTPS的方法并不难，只需部署一张SSL证书即可，其安装方法并不难。具体系统安装SSL证书方法可参考GDCA SSL证书部署指南。但是其过程有一个比较复杂的问题，就是站点迁移到HTTPS。 HTTP站点迁移到HTTPS时，并非是新建一个站点。如果操作出错，Google就会认为你在新建一个站点。在迁移过程中，会因为重复的内容，新的协议站点会在Google重新计算。毕竟HTTP与HTTPS确实存在差异，一个是为客户端与服务端提供加密协议，是安全可靠的，而另一个不是。 这样，Google就会显示两个网址 https://trustauth.cn http://trustauth.cn 这样就会出现内容重复的两个不同网页。在技术层面上也是两个不同的页面。这种情况对于各大SEO来说是十分糟糕的，那么应该怎样避免网站迁移到HTTPS时，出现内容重复的两个地址呢？ 如何避免Google将http和https页面视为重复的内容？ 这种情况最好的方法是在所有的HTTP页面使用301重定向到对应的HTTPS。换个说法就是把每个页面都使用SSL证书，所有页面都使用HTTPS。如果只在单个页面设置HTTPS，那么该站点的访问者就会从安全连接跳转到非安全连接然后返回。这种做法会给服务器带来额外的压力，因为SSL握手过程是一个复杂的过程。并且也存在风险，不法分子也利用不安全协议打开攻击媒介。 竞争对手可以使用你的配置错误 目前，有些服务器就算没有安全的证书也可以向访问者提供HTTPS页面。假设竞争对手使用HTTPS协议链接到您的HTTP站点，Google将其视为重复的内容。Google将会把您的内容编入索引。 如果他们不使用HTTPS和没有重定向，服务器将不提供页面。因此，使用HTTPS链接到您的HTTP站点时就可能会创建一条错误消息“站点无法访问”。 WWW还是非WWW？ 关于是否引用WWW，在迁移HTTPS之前，各大站长应提前做好最终决定。对于Google来说： https://trustauth.cn https://www.trustauth.cn 这是两个不同的页面，WWW实际上是被视为一个子域名。尽管SSL证书覆盖WWW和非WWW的变体，但浏览器不会将它们视为同一个域名。所以当站长做出了最终选择，并要设置另一个重定向，以免混淆。 建议 希望可帮助用户在迁移到HTTPS时避免重复的内容错误 规范标签 – 即使重定向，将页面的标签规范，将有助于告诉Google在搜索结果中显示哪个页面。 测试服务器 – 服务器如何响应安全和不安全链接的请求？用户需要添加更多的301来弥补。 审核自己的网址 – 通过工具来检查您的网址是否有重复的内容错误。 检查404s – 这只是良好的习惯，使用谷歌搜索控制台来查找和补救网站正在生产的任何404错误。 最后 SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道，是网络安全传输的加密通道。关于更多SSL证书的资讯，请关注安信。安信致力于网络信息安全，已通过WebTrust 的国际认证，是全球可信任的证书签发机构。安信专业技术团队将根据用户具体情况为其提供最优的产品选择建议，并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。 文章素材由安信翻译thesslstore

昨天，本站发布了一篇名为《站长须知：HTTP迁移HTTPS时，如何避免发生重复内容问题》的文章。介绍了HTTP页面迁移到HTTPS的时候，为了避免出现重复内容的不同网站的情况，建议广大站长将所有的HTTP页面使用301重定向到对应的HTTPS，为了让更多人熟悉301重定向，本文将介绍301重定向的方式。当然大前提用户在服务器上必须要正确安装SSL证书。 301重定向 301重定向是指页面永久性移走，是网页更改地址后对搜索引擎最友好的方法。当网站发生调整，改变了网站的目录结构，网页被移到一个新地址。或者网页扩展名改变，如因应用需要把.php改成.Html或.shtml，http升级到https时都需要做301重定向，不然用户访问到的页面可能会发生404页面错误信息。 如何实现301重定向 1：IIS 服务器实现301 重定向 打开iis，创建一个站点（可以是空文件夹）成功后右键，属性>>网站，ip地址后面的高级中，将需要做301的域名绑定在主机头上。如下图 接下来还在在网站属性>>主目录。下面有3个单选项。选择 重定向到URL（U）输入目标域名url，然后点击应用，最后点击确定。这样就完成了在windows系统中iis下设置301永久重定向了。 以上的设置方法功能都比较单一，只适合网站建设初期的设置，接下来进入更强大的设置模式，适用于已经成功建站的高手们。 2：Apache 服务器实现301 重定向 在Apache 中，有个很重要的文件.htaccess，通过对它的设置，可以实现很多强大的功能，301 重定向只是其中之一。 找到 “redirect permanent / http://www.trustauth.cn： redirect permanent /xxxx.html http://www.trustauth.cn：修改这句即可。” 3：在.htaccess文件中增加301重定向指令 采用“mod_rewrite”技术，形如： “RewriteEngine on RewriteRule ^(.*)$ http://www.trustauth.cn/$1 [R=301,L]” 如指定url或目录进行301重定向，须在.htaccess文件中增加以下指令 “RewriteRule ^(article/zhishu.html|zhishu)$ http://www.trustauth.cn/zhishu/ [R=301,L]\n”. 整站设置301重定向方法 <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^(.*)$ http://www.trustauth.cn/zhishu/ [R=301,L] </IfModule> 4：适用于使用Unix网络服务器的用户 通过此指令通知搜索引擎的spider你的站点文件不在此地址下。这是较为常用的办法。 形如：Redirect 301 / http://trustauth.cn/ 5：在服务器软件的系统管理员配置区完成301重定向 适用于使用Window网络服务器的用户 绑定/本地DNS 如果具有对本地DNS记录进行编辑修改的权限，则只要添加一个记录就可以解决此问题。若无此权限，则可要求网站托管服务商对DNS服务器进行相应设置。 DNS服务器的设置 若要将blog.trustauth.cn指向trustauth.cn，则只需在DNS服务中应增加一个别名记录，可写成：blog IN CNAME trustauth.cn。 如需配置大量的虚拟域名，则可写成：* IN CNAME trustauth.cn.这样就可将所有未设置的以trustauth.cn结尾的记录全部重定向到trustauth.cn上。 6：用ASP、PHP、ColdFusion实现301重定向： ASP下的301重定向 <%@ Language=VBScript %> <% Status=”301 Moved Permanently” AddHeader “Location”,”http://” %> ASP .NET下的301重定向 <script runat=”server”> private void Page_Load(object sender, System.EventArgs e) { Status = “301 Moved ... 更多

微信小程序上线至今已经一年多，一直备受用户的关注。尤其最近微信小程序推出的跳一跳小游戏，在全国掀起了使用小程序的热潮。令更多的开发者投入到小程序的开发中。但在展开小程序的工作前，开发者须了解官方的要求。其中按照微信小程序的官方文档，发出request请求链接地址必须为https。即所有服务器通讯必须使用 HTTPS 协议的安全连接。如果开发者仍旧使用http访问请求的话，只能使用开发环境的预览请求数据。一旦发布，所有请求数据均为失效状态。 因此，开发者在接入微信小程序时，必须通过HTTPS完成与服务器的通信。开发者可在微信的后台发现，所有的网络请求全部默认为HTTPS，如图：微信配置服务器信息 由后台的服务器配置可知 （1）微信小程序后台只支持https。 （2）API请求，文件上传，socket 文件上传和下载，必须是在后台配置，否则微信不允许下载。 （3）后端的请求，是可以配置多个请求的，比如request 请求，可以配置不同的请求，但所有的域名必须备案。 可见HTTPS加密协议已经成为微信小程序必备的基本设置。为了让更多的开发者服务器顺利升级HTTPS协议，安信特推出微信小程序HTTPS解决方案（https://www.trustauth.cn/marketing/wechatssl.html）。 开发者只需要三步，即可获取HTTPS证书，并完成证书部署。 1）选定证书类型 HTTPS证书即SSL证书，是HTTP明文协议升级HTTPS加密协议必备的数字证书。为客户端（浏览器）与服务端（网站服务器）之间搭建一条安全的加密通道，对两者之间交换的信息进行加密。 SSL证书分为：EV SSL证书、OV SSL证书以及DV SSL证书三种类型，以及部分证书支持通配符和多域名的功能。开发者可根据自身情况选择不同类型的证书。 DV SSL证书（域名验证型）：只验证域名所有适合个人网站、博客等站点使用； OV SSL证书（企业验证型）：验证网站所属单位身份，适合于中旬性企业级用户使用； EV SSL证书（扩展验证型）：扩展验证网站所属单位身份，适合高度信任的企业级用户使用。如金融行业的银行，电子商务平台。 具体请点击：快速正确选择最佳的SSL证书 2）申请证书 （1）选定证书后，联系GDCA的在线客服人员下单。 （2）接着生成CSR，用户可通过CSR工具自主生成，或通过GDCA提供的在线生成工具（在线生成CSR:https://www.trustauth.cn/SSLTool/）。 （3）然后将CSR内容提交给GDCA的客服人员，而私钥部分须自主保存。 （4）再根据申请证书类型，提交相关资料，审核无误后，就可获取HTTPS证书（SSL证书）。 3）证书部署 第一种方法：自主安装。获取证书后，须部署在服务器上。SSL证书根据服务器的不同系统其安装方式而有所差异，具体的操作步骤可参加GDCA网站的SSL证书部署指南（https://www.trustauth.cn/ssl-guide）。 第二种方法：为了确保SSL证书安装无误，安信提供SSL证书免费售后安装服务，用户可根据需求联系客服人员在线申请。 近年来，因为网络安全的原因，HTTPS被大量的采用，而传统的HTTP逐渐被淘汰。广大用户应及早将服务器的传输协议切换到HTTPS。目前安信推出多种类型的SSL证书，解决不同用户升级到HTTPS 的需求，关于更多的HTTPS或SSL证书的知识可咨询安信在线客服。