摘要：1 openshift 背景，为什么项目二（http springboot用https域名访问）与项目一（双向ssl透传）可以共存 * edge - TLS termination is done by the router and http is used to communicate with 阅读全文

摘要：1 如果加在四层，则拿到的是f5的ip 如果加在七层，报文可以伪造 2 https://www.jianshu.com/p/d67dbd236748?utm_campaign=hugo&utm_content=note&utm_medium=seo_notes&utm_source=recommen 阅读全文

摘要：一层公钥-一层签名二层公钥-一层签名三层公钥-一层签名 二层公钥解密三层签名，验证三层公钥一层公钥解密二层签名，验证二层公钥root公钥解密一层签名，验证一层公钥 自己的公钥➕中间CA私钥签名中间CA公钥➕根CA私钥签名根证书 用操作系统根证书验证中间CA公钥匙用已验证的的传过来的中间CA证书验证服 阅读全文

摘要：1 fiddler原理+fiddler为什么抓chrome而不能抓curl和httpclient？fiddler为什么能篡改报文？ 中的ssl pinning 本质即是双向ssl https://zhuanlan.zhihu.com/p/60392573/有一个破解的案例 2 单向ssl破解 htt 阅读全文

摘要：Tunnel既不是给https用的，也不是给代理用的，是给https代理用的 之所以以前老觉得Https也有一个tunnel，是因为每次看https请求，fiddler本身就是http代理，本来就会有tunnel https本身是没有Connect method的 Tunnel & CONNECT 阅读全文

摘要：先解决此前的问题： 1 http原理（三）双向实践（curl） need时java 客户端可访问，但没客户端证书；want时有 后来发现，没有给truststore，猜测为，当springboot读到need，没有读到truststore时，没有强制检验的手段，直接放弃双向握手 后证实如果不给tru 阅读全文

摘要：本文为了证明： 1 双向可以通过直接转发tcp的中间人代理网关 2 双向可以防止明文中间人 开始。（服务端need，使用myhost.com-pub-capub.jks，myhost.com-pub-capub.p12不认） 客户端 透明中间人 明文代理 结果 备注 （1） myhost.com.p 阅读全文

摘要：本文采用客户端与服务端共用一个密钥对 1 将https代理服务器（三）实践中的mkcert p12分解为一个公钥一个私钥 mac@macdeMacBook mkcert % openssl pkcs12 -clcerts -nokeys -out myhost.com.pem -in myhost. 阅读全文

摘要：接 https代理服务器（三）实践，实践双向ssl 本文采用客户端与服务端不同密钥对 1 mkcert myclient 生成客户端公钥 私钥 2 mkcert -pkcs12 myclient 也可以直接生成p12 非对称钥匙对 请注意，根据https原理（四）双向实践（java客户端+tcp代理 阅读全文

摘要：https://www.dianjilingqu.com/387084.html 在https原理中，一大争议就是服务端是否用CA私钥加密服务器公钥 是-自签名证书浏览器没有CA公钥，无法解密公钥，而这与实际不符合，点击“继续”后仍然可以访问，说明CA私钥没有加密服务器公钥，只是用于数字签名的生成， 阅读全文

摘要：https://zhuanlan.zhihu.com/p/355241710?utm_id=0 http://t.zoukankan.com/xiaxj-p-8961131.html https://www.cnblogs.com/cwjcsu/archive/2012/10/05/8433078. 阅读全文

摘要：python spring boot proxy non ca openssl, keytool / no 1 无需，proxy动态签发证书，必须有CA根证书顶在前面 ca mkcert 通过 2 通过 3 mac显示ca，与charles证书一样 mkcert改host 或用另一个域名指向127. 阅读全文

摘要：https://www.cnblogs.com/iiiiher/p/8085698.html 证书生成工具 1,openssl 2,jdk自带的keystone 3,cfssl 证书中各个字段的含义 - 查看证书的内容 openssl x509 -in /etc/pki/CA/cacert.pem 阅读全文

摘要：0 在 netty（二十五）http代理服务器（四）困难 中，始终困惑于chrome（mac）不信任我们的自签名证书 然而charles是做到了，我们从头来过，先不搞代理服务器的，先搞个简单服务器，排除是否是mac chrome就是无法信任自签名证书的谣言 1 https://www.jianshu 阅读全文

摘要：Cookie相关的Http头 有 两个Http头部和Cookie有关：Set-Cookie和Cookie。 Set-Cookie由服务器发送，它包含在响应请求的头部中。它用于在客户端创建一个Cookie Cookie头由客户端发送，包含在HTTP请求的头部中。注意，只有cookie的domain和p 阅读全文

摘要：背景：24netty（二十）http代理服务器 使用中间人模拟单点登录过程，拦截用户cookie中sessionid，同时确保其可用 *secretRequest除了sessionid、serviceid，可能还有个时间，比如两个时间对比需在10秒以内，像cas的st只能用一次，且需要在10s以内 阅读全文

摘要：参考： https://blog.csdn.net/houdabiao/article/details/83058351 https://zhuanlan.zhihu.com/p/22521378?utm_source=wechat_session&utm_medium=social&utm_oi= 阅读全文

摘要：问题：想模拟web端请求，但是发现仅带了登录的session会报403，查看请求头发现还需要携带csrftoken，所以开始研究csrftoken csrftoken：为了防止跨站域请求伪造，有的网站请求中会加入这个验证，在登录及登录后续的操作都会让你携带csrftoken，问题在于csrftoke 阅读全文

摘要：*注意图中蓝色文字 2021.2.3 请忽略蓝色文字，如果公钥被机构的私钥加密了，那对于自签名的https公钥怎么办呢；所以服务器公钥肯定直接传，而数字签名是用CA私钥加密过的； 自签名的数字签名，浏览器用CA的公钥解密error，发出警告，但如果用户忽略，则拿着公钥继续https http原理（二 阅读全文

摘要：比如你在百度搜索了一个关键词“https“，中间者通过tcpdump或者wireshark等工具就很容易知道发送请求的全部内容。wireshark的截图如下： 这里所谓的中间者是指网络传输内容需要经过的网络节点，既有硬件也有软件，比如中间代理服务器、路由器、小区WIFI热点、公司统一网关出口等。这里 阅读全文