本書(shū)是集理論、協(xié)議細(xì)節(jié)、漏洞分析、部署建議于一體的詳盡 Web 應(yīng)用安全指南。書(shū)中具體內(nèi)容包括 ：密碼學(xué)基礎(chǔ)，TLS 協(xié)議，PKI 體系及其安全性，HTTP 和瀏覽器問(wèn)題，協(xié)議漏洞 ；最新的攻擊形式，如 BEAST、CRIME、BREACH、Lucky 13 等；詳盡的部署建議；如何使用 OpenSSL 生成密鑰和確認(rèn)信息；如何使用 Apache httpd、IIS、Nginx 等進(jìn)行安全配置。本書(shū)適合 Web 開(kāi)發(fā)人員、系統(tǒng)管理員和所有對(duì) Web 應(yīng)用安全感興趣的讀者。

　　本書(shū)的存在是為了記錄在實(shí)際的日常工作中需要了解的關(guān)于SSL/TLS和PKI的一切。我著眼于正確地結(jié)合理論、協(xié)議細(xì)節(jié)、漏洞和弱點(diǎn)信息以及部署建議，以幫助讀者完成工作。在撰寫(xiě)本書(shū)時(shí)，我想象有以下三個(gè)群體的代表密切注視著我，希望我回答他們提出的問(wèn)題。? 系統(tǒng)管理員系統(tǒng)管理員一貫時(shí)間有限而被迫處理系統(tǒng)上日益增加的安全問(wèn)題，因此他們需要有關(guān)TLS 的可靠指導(dǎo)，從而可以快速有效地配置他們的服務(wù)器。盲目相信從網(wǎng)絡(luò)上找到的信息往往適得其反，因?yàn)橛蟹浅６嗖徽_和過(guò)時(shí)的信息。? 開(kāi)發(fā)人員雖然SSL從誕生之初就承諾為基于TCP的協(xié)議提供透明的安全保障，但現(xiàn)實(shí)情況卻是開(kāi)發(fā)人員在確保應(yīng)用安全的任務(wù)中扮演著十分重要的角色。對(duì)Web應(yīng)用而言尤其如此，因?yàn)?Web應(yīng)用一邊圍繞著SSL和TLS構(gòu)建安全，一邊整合著各種會(huì)破壞安全性的特性。理論上 “僅僅啟用加密”即可，而實(shí)踐中不僅需要啟用加密，同時(shí)也需要關(guān)注許多破壞安全性的問(wèn)題，不論它們是大是小。在本書(shū)中，我盡力不遺漏這類讀者可能會(huì)遇到的每一個(gè)問(wèn)題。? 管理人員最后是管理人員，雖然他們不必關(guān)心實(shí)施細(xì)節(jié)，但仍然需要理解發(fā)生了什么并做出決策。安全領(lǐng)域變得越來(lái)越復(fù)雜，理解攻擊和威脅往往就是其工作的一部分。解決問(wèn)題的方法經(jīng)常不止一種，最好的方法往往是依情況而定。總之，本書(shū)內(nèi)容全面覆蓋了HTTP和Web應(yīng)用，但幾乎沒(méi)有提及其他協(xié)議。這主要是因?yàn)闉g覽器。瀏覽器已經(jīng)成為最流行的應(yīng)用分發(fā)平臺(tái)，而HTTP在瀏覽器上運(yùn)用加密的方法非常特殊，帶來(lái)了很多問(wèn)題。因此本書(shū)才花了非常多的篇幅講HTTP。事實(shí)上，除了有關(guān)HTTP的章節(jié)，全書(shū)仍有三分之二的內(nèi)容提供了可以應(yīng)用到任何使用TLS 協(xié)議的一般性指導(dǎo)。關(guān)于OpenSSL、Java和Microsoft的幾章分別為相應(yīng)的平臺(tái)提供了協(xié)議的一般信息。也就是說(shuō)，如果各位讀者正在尋找Web服務(wù)器以外的其他產(chǎn)品的配置示例，那么將無(wú)法在本書(shū)中找到。因?yàn)閃eb服務(wù)器主要由幾大平臺(tái)占據(jù)，其他類型的應(yīng)用則有大量的產(chǎn)品。只提供Web 服務(wù)器相關(guān)的最新指導(dǎo)已經(jīng)是相當(dāng)大的挑戰(zhàn)了，畢竟Web服務(wù)器一直在不斷發(fā)展。我無(wú)法在更大的范圍跟進(jìn)，因此有意將其他配置示例發(fā)布在網(wǎng)上，并希望能夠在社區(qū)中起到拋磚引玉的作用，從而保持這些指導(dǎo)及時(shí)更新。

　　本書(shū)主要內(nèi)容共16章，分為若干部分。這些部分彼此依托，構(gòu)成一幅完整的藍(lán)圖，始于理論介紹，最后給出實(shí)踐建議。第一部分包括第1~3章，是全書(shū)的基礎(chǔ)，討論了密碼學(xué)、SSL、TLS和PKI。? 第1章 SSL、TLS和密碼學(xué)這一章首先介紹了SSL和TLS，討論這些安全協(xié)議從哪里融入互聯(lián)網(wǎng)基礎(chǔ)設(shè)施；其余部分介紹密碼學(xué)，并討論了主動(dòng)網(wǎng)絡(luò)攻擊者的經(jīng)典威脅模型。? 第2章 協(xié)議這一章討論TLS協(xié)議的各種細(xì)節(jié)，內(nèi)容覆蓋了最新的TLS 1.2，并酌情提供了早期版本的信息。這一章最后包括了從SSL 3起協(xié)議演變的概述以供參考。? 第3章 公鑰基礎(chǔ)設(shè)施這一章介紹互聯(lián)網(wǎng)PKI。PKI是當(dāng)今互聯(lián)網(wǎng)上使用的主要信任模型。這一章著重介紹其標(biāo)準(zhǔn)、組織、管理、生態(tài)系統(tǒng)的弱點(diǎn)以及未來(lái)可能的改進(jìn)。第二部分包括第4~7章，詳細(xì)列舉各種問(wèn)題。這些問(wèn)題與信任基礎(chǔ)設(shè)施、安全協(xié)議以及實(shí)現(xiàn)它們的庫(kù)和程序有關(guān)。? 第4章 攻擊PKI 這一章內(nèi)容涉及對(duì)信任體系的攻擊，涵蓋了所有主要的CA事故，詳細(xì)列舉了種種弱點(diǎn)、攻擊和效果。這一章以純粹的歷史視角來(lái)回顧PKI體系的安全性，這對(duì)于理解其發(fā)展非常重要。? 第5章 HTTP和瀏覽器問(wèn)題這一章講述HTTP和TLS之間的關(guān)系，在Web出現(xiàn)根本性增長(zhǎng)后產(chǎn)生的問(wèn)題，以及不同的網(wǎng)絡(luò)體系之間雜亂的相互作用。? 第6章 實(shí)現(xiàn)問(wèn)題這一章內(nèi)容包括隨機(jī)數(shù)生成、證書(shū)驗(yàn)證以及其他核心TLS和PKI功能的設(shè)計(jì)和編碼錯(cuò)誤。此外，還討論了自愿協(xié)議降級(jí)和截?cái)喙?，涵蓋心臟出血、FREAK和Logjam等備受矚目的攻擊。? 第7章 協(xié)議攻擊這是本書(shū)中篇幅最長(zhǎng)的一章，涵蓋了近年來(lái)發(fā)現(xiàn)的所有主要的協(xié)議缺陷：不安全的重新協(xié)商、BEAST、CRIME、Lucky 13、POODLE和POODLE TLS、RC4、TIME和BREACH，以及三次握手攻擊。這一章還簡(jiǎn)單討論了Bull Run項(xiàng)目及其對(duì)于TLS安全性的影響。第三部分包括第8~10章，為以安全且高效的方式部署TLS提供了綜合指導(dǎo)。? 第8章 部署這一章是整本書(shū)的地圖，提供了如何一步一步地部署安全且工作良好的TLS服務(wù)器和Web 應(yīng)用的操作指南。? 第9章 性能優(yōu)化這一章著眼于TLS的速度，為那些希望從服務(wù)器中榨取每一點(diǎn)速度的讀者詳述了各種提升性能的技術(shù)。? 第10章 HTTP嚴(yán)格傳輸安全、內(nèi)容安全策略和釘扎這一章涉及加強(qiáng)Web應(yīng)用的一些高級(jí)主題，比如HTTP嚴(yán)格傳輸安全和內(nèi)容安全策略。這一章也涉及釘扎，它是減少由當(dāng)前PKI模型帶來(lái)的龐大攻擊面的有效方法。第四部分是最后一部分，由第11~16章組成，為在主流部署平臺(tái)和Web服務(wù)器上使用和配置 TLS以及如何使用OpenSSL探測(cè)服務(wù)器配置提供可行的指導(dǎo)。? 第11章 OpenSSL 這一章描述了OpenSSL最常用的功能，主要介紹其安裝、配置、私鑰和證書(shū)管理。最后的11.4節(jié)給出如何構(gòu)建和管理一個(gè)私有證書(shū)頒發(fā)機(jī)構(gòu)的操作指南。? 第12章 使用OpenSSL進(jìn)行測(cè)試這一章繼續(xù)介紹OpenSSL，解釋如何使用它的命令行工具測(cè)試服務(wù)器配置。盡管使用自動(dòng)化工具測(cè)試經(jīng)常更加簡(jiǎn)單，但當(dāng)讀者想確定當(dāng)前具體的情況時(shí)，仍然可以使用OpenSSL 工具。? 第13章 配置Apache 這一章討論流行的Web服務(wù)器Apache httpd的TLS配置。從這一章開(kāi)始，將有一系列章節(jié)提供實(shí)踐指導(dǎo)，與前面章節(jié)的理論相配合。每一章都專注于一個(gè)主要的技術(shù)層面。? 第14章 配置Java和Tomcat 這一章涉及Java（第7版和第8版）和Tomcat服務(wù)器。除了配置信息，這章也包含Web應(yīng)用安全的指導(dǎo)。? 第15章 配置Microsoft Windows和IIS 這一章討論在Microsoft Windows平臺(tái)和Internet Information Server上部署TLS的問(wèn)題，也為在ASP.NET下運(yùn)行的Web應(yīng)用上使用TLS提供指導(dǎo)。? 第16章 配置Nginx 這一章討論Nginx服務(wù)器，除了闡述最新穩(wěn)定版的特性，也會(huì)對(duì)開(kāi)發(fā)分支中的一些改進(jìn)一探究竟。