如何一步步构建安全的 HTTPS 站点

如果客户端之前已经连接，我们有办法在 1.2 中进行 1-RTT 连接，而在 TLS 1.3 中允许我们执行 0-RTT连接，如图所示：

当然，具体采用 TLS1.2 还是 TLS1.3 需要根据实际的业务场景和用户群体来决定，在较新版本的浏览器一般都支持最新的加密协议，而类似 IE 8 以及Windows xp 这种古老的浏览器和操作系统就不支持了。如果说你的用户是一些政府部门的客户，那么就不适合采用这种较新的技术方案了，因为据我所知很多政府部门的操作系统还是xp和 IE 8以下的版本，这会导致新协议无法在他们的操作系统中正常工作。因此你可以讲加密算法和加密协议多配置几个，向下兼容不同客户端。

第四，证书要从可靠的CA厂商申请，因为不可靠的厂商(比如不被主流浏览器信任的证书厂商)会乱修改证书日期，重复签发证书。此外即使是可靠的 CA 签发的证书也有可能是伪造的，比如赛门铁克之前就被曝出丑闻而被火狐和Chrome 惩罚，结果就是这些主流浏览器不在信任这些CA 机构签发的一部分证书。因此一旦发现证书不受信任要尽快替换。

第五，使用完整的证书链，如果证书链不完整，则很有可能在一些版本的浏览器上访问异常。

第六，使用HTTP/2，使用最新的 HTTP 2 可以提升网站的访问速度以及拥有更好的性能支持。

第七，保护证书私钥不被外泄。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!