对某网络认证系统的研究

注:本文原作于2018年1月11日,其中所包含的一些信息可能已不再适用。警告:技术无罪,莫用作非法用途。如进行不合理使用所造成任何法律责任,笔者概不负责。迁入大学校内的宿舍后,我对垄断该宿舍的网络公司所使用的认证系统进行了一番研究。1.初探该认证系统在未登录时封锁除53、80及443以外的所有TCP端口;UDP未予详细测试,但至少知道UDP/…

Read More

SSL密钥交换与性能优化

为强化SSL的密钥交换,我们或会考虑使用4096位的RSA证书、384位的EC(DSA)证书和384位的ECDH密钥交换;但性能需要被考虑进其中。以下一组数据使用openssl speed命令在我的VPS上测出。 sign verify sign/s verify/s rsa…

Read More

使用acme.sh签发Let's Encrypt通配符证书

12小时前,Let's Encrypt发文称,在经过一系列调整后,正式的ACMEv2后端以及通配符证书已被支持。 acme.sh已支持测试版ACMEv2协议及通配符证书,如今只需去掉命令行中的--test便可签发有效证书。 通配符证书对应域名的所有权无法在通过HTTP进行验证,故ACMEv2采用DNS来验证申请者对域名的所有权,为此需要对该顶级域名添加一条TXT DNS记录。为提高自动化程度,acme.sh和CertBot等支持ACMEv2的工具利用DNS服务商的API来添加与(…

Read More

CHACHA20 Patch for OpenSSL 1.1.1-dev

(2018.6.1 Update)注:此文章所用方法已过时,仅适用于OpenSSL 1.1.1-dev,不适用于其后发布的任何Alpha与Beta版本。 OpenSSL 1.1.1的Alpha与Beta版本可通过配置文件命令PrioritizeChaCha来实现同样功能。…

Read More

惊闻StartCom之死

数日前浏览V2ex时,见有人转载这样一条新闻,大意是:StartCom宣布停止其数字证书业务。 回想当年,没有Let's Encrypt这个免费且全自动签发的CA之前,StartCom曾为万千个人站长提供1年免费的SSL证书,令访客可以更安全地连接到网站。 然而,臭名昭著的沃通,或者其背后的金主奇虎360公司,作为被StartCom签名的Intermediate CA,先是逆向收购了StartCom,…

Read More

使用Stunnel为MySQL Server建立SSL隧道

笔者接手的一个项目有如下需求: 两台主机A和B,A上运行一个MySQL服务器和一套基于PHP的、以MySQL为数据库的CMS;B上除MySQL服务器外,其他皆与A相同。 要求B能安全地(通过SSL)连接A上的MySQL服务器,而这个CMS本身不支持MySQL over SSL Stunnel可以提供一个安全的SSL隧道,理论上可以承载任何应用层协议——包括MySQL。…

Read More