本書是集理論、協(xié)議細節(jié)、漏洞分析、部署建議于一體的詳盡 Web 應(yīng)用安全指南。書中具體內(nèi)容包括 ：密碼學(xué)基礎(chǔ)，TLS 協(xié)議，PKI 體系及其安全性，HTTP 和瀏覽器問題，協(xié)議漏洞 ；最新的攻擊形式，如 BEAST、CRIME、BREACH、Lucky 13 等；詳盡的部署建議；如何使用 OpenSSL 生成密鑰和確認信息；如何使用 Apache httpd、IIS、Nginx 等進行安全配置。本書適合 Web 開發(fā)人員、系統(tǒng)管理員和所有對 Web 應(yīng)用安全感興趣的讀者。

　　本書的存在是為了記錄在實際的日常工作中需要了解的關(guān)于SSL/TLS和PKI的一切。我著眼于正確地結(jié)合理論、協(xié)議細節(jié)、漏洞和弱點信息以及部署建議，以幫助讀者完成工作。在撰寫本書時，我想象有以下三個群體的代表密切注視著我，希望我回答他們提出的問題。? 系統(tǒng)管理員系統(tǒng)管理員一貫時間有限而被迫處理系統(tǒng)上日益增加的安全問題，因此他們需要有關(guān)TLS 的可靠指導(dǎo)，從而可以快速有效地配置他們的服務(wù)器。盲目相信從網(wǎng)絡(luò)上找到的信息往往適得其反，因為有非常多不正確和過時的信息。? 開發(fā)人員雖然SSL從誕生之初就承諾為基于TCP的協(xié)議提供透明的安全保障，但現(xiàn)實情況卻是開發(fā)人員在確保應(yīng)用安全的任務(wù)中扮演著十分重要的角色。對Web應(yīng)用而言尤其如此，因為 Web應(yīng)用一邊圍繞著SSL和TLS構(gòu)建安全，一邊整合著各種會破壞安全性的特性。理論上 “僅僅啟用加密”即可，而實踐中不僅需要啟用加密，同時也需要關(guān)注許多破壞安全性的問題，不論它們是大是小。在本書中，我盡力不遺漏這類讀者可能會遇到的每一個問題。? 管理人員最后是管理人員，雖然他們不必關(guān)心實施細節(jié)，但仍然需要理解發(fā)生了什么并做出決策。安全領(lǐng)域變得越來越復(fù)雜，理解攻擊和威脅往往就是其工作的一部分。解決問題的方法經(jīng)常不止一種，最好的方法往往是依情況而定?？傊?，本書內(nèi)容全面覆蓋了HTTP和Web應(yīng)用，但幾乎沒有提及其他協(xié)議。這主要是因為瀏覽器。瀏覽器已經(jīng)成為最流行的應(yīng)用分發(fā)平臺，而HTTP在瀏覽器上運用加密的方法非常特殊，帶來了很多問題。因此本書才花了非常多的篇幅講HTTP。事實上，除了有關(guān)HTTP的章節(jié)，全書仍有三分之二的內(nèi)容提供了可以應(yīng)用到任何使用TLS 協(xié)議的一般性指導(dǎo)。關(guān)于OpenSSL、Java和Microsoft的幾章分別為相應(yīng)的平臺提供了協(xié)議的一般信息。也就是說，如果各位讀者正在尋找Web服務(wù)器以外的其他產(chǎn)品的配置示例，那么將無法在本書中找到。因為Web服務(wù)器主要由幾大平臺占據(jù)，其他類型的應(yīng)用則有大量的產(chǎn)品。只提供Web 服務(wù)器相關(guān)的最新指導(dǎo)已經(jīng)是相當大的挑戰(zhàn)了，畢竟Web服務(wù)器一直在不斷發(fā)展。我無法在更大的范圍跟進，因此有意將其他配置示例發(fā)布在網(wǎng)上，并希望能夠在社區(qū)中起到拋磚引玉的作用，從而保持這些指導(dǎo)及時更新。

　　本書主要內(nèi)容共16章，分為若干部分。這些部分彼此依托，構(gòu)成一幅完整的藍圖，始于理論介紹，最后給出實踐建議。第一部分包括第1~3章，是全書的基礎(chǔ)，討論了密碼學(xué)、SSL、TLS和PKI。? 第1章 SSL、TLS和密碼學(xué)這一章首先介紹了SSL和TLS，討論這些安全協(xié)議從哪里融入互聯(lián)網(wǎng)基礎(chǔ)設(shè)施；其余部分介紹密碼學(xué)，并討論了主動網(wǎng)絡(luò)攻擊者的經(jīng)典威脅模型。? 第2章 協(xié)議這一章討論TLS協(xié)議的各種細節(jié)，內(nèi)容覆蓋了最新的TLS 1.2，并酌情提供了早期版本的信息。這一章最后包括了從SSL 3起協(xié)議演變的概述以供參考。? 第3章 公鑰基礎(chǔ)設(shè)施這一章介紹互聯(lián)網(wǎng)PKI。PKI是當今互聯(lián)網(wǎng)上使用的主要信任模型。這一章著重介紹其標準、組織、管理、生態(tài)系統(tǒng)的弱點以及未來可能的改進。第二部分包括第4~7章，詳細列舉各種問題。這些問題與信任基礎(chǔ)設(shè)施、安全協(xié)議以及實現(xiàn)它們的庫和程序有關(guān)。? 第4章 攻擊PKI 這一章內(nèi)容涉及對信任體系的攻擊，涵蓋了所有主要的CA事故，詳細列舉了種種弱點、攻擊和效果。這一章以純粹的歷史視角來回顧PKI體系的安全性，這對于理解其發(fā)展非常重要。? 第5章 HTTP和瀏覽器問題這一章講述HTTP和TLS之間的關(guān)系，在Web出現(xiàn)根本性增長后產(chǎn)生的問題，以及不同的網(wǎng)絡(luò)體系之間雜亂的相互作用。? 第6章 實現(xiàn)問題這一章內(nèi)容包括隨機數(shù)生成、證書驗證以及其他核心TLS和PKI功能的設(shè)計和編碼錯誤。此外，還討論了自愿協(xié)議降級和截斷攻擊，涵蓋心臟出血、FREAK和Logjam等備受矚目的攻擊。? 第7章 協(xié)議攻擊這是本書中篇幅最長的一章，涵蓋了近年來發(fā)現(xiàn)的所有主要的協(xié)議缺陷：不安全的重新協(xié)商、BEAST、CRIME、Lucky 13、POODLE和POODLE TLS、RC4、TIME和BREACH，以及三次握手攻擊。這一章還簡單討論了Bull Run項目及其對于TLS安全性的影響。第三部分包括第8~10章，為以安全且高效的方式部署TLS提供了綜合指導(dǎo)。? 第8章 部署這一章是整本書的地圖，提供了如何一步一步地部署安全且工作良好的TLS服務(wù)器和Web 應(yīng)用的操作指南。? 第9章 性能優(yōu)化這一章著眼于TLS的速度，為那些希望從服務(wù)器中榨取每一點速度的讀者詳述了各種提升性能的技術(shù)。? 第10章 HTTP嚴格傳輸安全、內(nèi)容安全策略和釘扎這一章涉及加強Web應(yīng)用的一些高級主題，比如HTTP嚴格傳輸安全和內(nèi)容安全策略。這一章也涉及釘扎，它是減少由當前PKI模型帶來的龐大攻擊面的有效方法。第四部分是最后一部分，由第11~16章組成，為在主流部署平臺和Web服務(wù)器上使用和配置 TLS以及如何使用OpenSSL探測服務(wù)器配置提供可行的指導(dǎo)。? 第11章 OpenSSL 這一章描述了OpenSSL最常用的功能，主要介紹其安裝、配置、私鑰和證書管理。最后的11.4節(jié)給出如何構(gòu)建和管理一個私有證書頒發(fā)機構(gòu)的操作指南。? 第12章 使用OpenSSL進行測試這一章繼續(xù)介紹OpenSSL，解釋如何使用它的命令行工具測試服務(wù)器配置。盡管使用自動化工具測試經(jīng)常更加簡單，但當讀者想確定當前具體的情況時，仍然可以使用OpenSSL 工具。? 第13章 配置Apache 這一章討論流行的Web服務(wù)器Apache httpd的TLS配置。從這一章開始，將有一系列章節(jié)提供實踐指導(dǎo)，與前面章節(jié)的理論相配合。每一章都專注于一個主要的技術(shù)層面。? 第14章 配置Java和Tomcat 這一章涉及Java（第7版和第8版）和Tomcat服務(wù)器。除了配置信息，這章也包含Web應(yīng)用安全的指導(dǎo)。? 第15章 配置Microsoft Windows和IIS 這一章討論在Microsoft Windows平臺和Internet Information Server上部署TLS的問題，也為在ASP.NET下運行的Web應(yīng)用上使用TLS提供指導(dǎo)。? 第16章 配置Nginx 這一章討論Nginx服務(wù)器，除了闡述最新穩(wěn)定版的特性，也會對開發(fā)分支中的一些改進一探究竟。