14.10 更多信息

安全和密码问题是非常重要,也非常复杂的问题。如果想学习更多有关 HTTP 安全性、数字加密技术、数字证书以及公开密钥基础设施方面的内容,可以从下面这几个地方开始。

14.10.1 HTTP安全性

 

  • Web security, Privacy & Commerce1(《Web 安全与电子商务》)

    Simson Garfinkel 著,O'Reilly & Associates 公司。这是 Web 安全以及 SSL/TLS 和数字证书方面最好、最可读的入门型书籍之一。

    1 本书中文版由中国电力出版社出版。(编者注)

  • http://www.ietf.org/rfc/rfc2818.txt

    RFC 2818,“HTTP Over TLS”(“TLS 上的 HTTP”),说明了如何在 SSL 的后继协议——TLS 协议之上实现安全 HTTP。

  • http://www.ietf.org/rfc/rfc2817.txt

    RFC 2817,“Upgrading to TLS Within HTTP/1.1”(“在 HTTP/1.1 中升级到 TLS”),说明了如何使用 HTTP/1.1 中的升级机制在现存的 TCP 连接上启动 TLS。这样非安全和安全 HTTP 流量就可以共享相同的知名端口了(在这种情况下,使用的是 http: 的 80 端口,而不是 https: 的 443 端口)。还可以使用虚拟主机技术。这样,使用一台 HTTP+TLS 服务器就可以区分出发往同一个 IP 地址上不同主机名的流量了。

14.10.2 SSL与TLS

 

  • http://www.ietf.org/rfc/rfc2246.txt

    RFC 2246,“The TLS Protocol Version 1.0”(“TLS 协议版本 1.0”),对(SSL 的后继协议)TLS 协议的版本 1.0 进行了规范。TLS 提供了因特网上通信的私密性。协议允许客户端 / 服务器应用程序以防止窃听、篡改以及伪造报文的方式进行通信。

  • http://developer.netscape.com/docs/manuals/security/sslin/contents.htm

    “Introduction to SSL”(“SSL 简介”)介绍了 SSL 协议。SSL 最初是由网景公司开发的,已广泛应用于万维网上客户端和服务器间的认证及加密通信。

  • http://www.netscape.com/eng/ssl3/draft302.txt

    “The SSL Protocol Version 3.0”(“SSL 协议版本 3.0”)是网景公司 1996 年的 SSL 规范。

  • http://developer.netscape.com/tech/security/ssl/howitworks.html

    “How SSL Works”(“SSL 是如何工作的”)是网景公司对密钥加密技术的介绍。

  • http://www.openssl.org

    OpenSSL 项目是一个合作开发项目,目的是开发一个强壮的、全功能的、商业级开源工具集,以实现安全套接字层(SSL v2/v3)和传输层安全(TLS v1)协议以及强大的通用密码库。这个项目由全世界范围内的志愿者社区管理,那些志愿者通过因特网进行交流、制定计划、开发 OpenSSL 工具集并撰写相关文档。OpenSSL 基于 Eric A. Young 和 Tim J. Hudson 开发的优秀 SSLeay 库。OpenSSL 工具集有一个 Apache 风格的许可证,这基本上就意味着只要遵循一些基本的许可条件,就可免费获得并将其用于商业或非商业目的。

14.10.3 公开密钥基础设施

 

  • http://www.ietf.org/html.charters/pkix-charter.html

    IETF PKIX 工作组组建于 1995 年,目的是开发一些因特网标准,支持基于 X.509 的公开密钥基础设施。这是对此小组活动很好的总结。

  • http://www.ietf.org/rfc/rfc2459.txt

    RFC 2459,“Internet X.509 Public Key Infrastructure Certificate and CRL Profile”(“因特网 X.509 公开密钥基础设施证书及 CRL 概述”),详细介绍了 X.509 v3 数字 证书。

14.10.4 数字密码

 

  • Applied Cryptography2(《应用密码学》)

    Bruce Schneier 著,John Wiley & Sons 公司出版。这是为实现者编写的经典密码学书籍。

    2 本书中文版由机械工业出版社出版。(编者注)

  • The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography3(《密码故事——人类智力的另类较量》)

    Simon Singh 著,Anchor Books 公司出版。这是一本有趣的密码学入门书籍。它不是为技术专家编写的,而是一本生动的密码学历史读物。

    3 本书中文版由海南出版社出版。(编者注)