如何为网站启用HTTPS加密传输协议

申请流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个密钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快5分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-5个工作日就能颁发。

完成以上SSL证书申请步骤收到CA的证书之后，然后将SSL证书正确的部署到服务上，网站就可以开启HTTPS加密了。

可以登陆JoySSL官方购买安装证书对网站加以防护 。

HTTPS协议在通信时，首先会采用公钥加密的方式，把密钥进行公钥加密，然后传输给服务器，服务器使用私钥解密出密钥后，客户端和服务器即可建立起安全的访问通道。在接下来的通信就会采用速度更快的共享密钥加密的方式进行数据传输。这样HTTPS协议就既拥有公钥加密的安全性，同时也拥有了通用加密的高速的两个优点。

对称加密：加密和解密用同一个密钥，客户端对数据加密，服务端解密拿到数据

非对称加密：使用公钥和私钥，公钥加密的内容只能私钥解开，私钥加密的内容所有公钥都能解开；私钥只保存在服务器端，公钥可以发送给所有客户端，可以保证客户端通过公钥加密的内容中间人无法破解。

参考:

https://blog.51cto.com/ssxiaoguai/1576340

https://www.linuxprobe.com/chapter-13.html#134

DNS 欺骗 即域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信 息，那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子 邮件到一个未经授权的邮件服务器。

拒绝服务攻击（DOS）

黑客主要利用一些DNS 软件的 漏洞，如在BIND 9 版本（版本9.2.0 以前的 9 系列）如果有人向运行BIND的设备发送特定的DNS 数据包请求，BIND 就会自动关闭。攻击者只能使BIND 关闭，而无法在服务器上执行任意命令。如 果得不到DNS 服务，那么就会产生一场灾难：由于网址不能解析为IP 地址，用户将无方访问互联网。这样，DNS 产生的问题就好像是互联网本身所产生的问 题，这将导致大量的混乱。

分布式拒绝服务攻击（DDOS）

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。

缓冲区漏洞

Bind 软件的 缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。

TSIG SIG0

DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先，要先判断客户端与服务器间的信任关系为何，若是可信任者，可选择对称式的 TSIG。TSIG 只有一组密码，并无公开/私密金钥之分；若是非完全信任者，可选择非对称式金钥的 SIG0，虽有公开/私密金钥之分，相对的，设定上也较复杂。至于要选用哪种较适合，就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/named.conf 的dns-ip-list 的访问控制列表（ACL，access control list）会列出一些IP 地址，它们只能为主域进行传输区带信息。

DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性，并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数，然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树，那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配，对于密码签名这种认证方式都是绝对正确的，因为公钥仅仅用于解密合法 的hash 数，所以只有拥有私钥的拥有者可以加密这些信息。

---