网络工程索引
汇总本站网络工程系列文章,覆盖分层模型、以太网、IP、TCP、DNS、TLS、HTTP/2/3、CDN、BGP 与故障诊断。
tls 标签归档
共 13 篇文章 · 返回首页
【网络工程】CDN 与 HTTPS:边缘 TLS、证书管理与安全
CDN 的 HTTPS 部署涉及边缘 TLS 终止、证书托管、回源加密等多个工程环节。本文系统拆解 CDN HTTPS 的架构模式、证书管理方案、安全最佳实践与常见故障排查方法。
【网络工程】反向代理模式:TLS 终止、透传与重加密
系统解剖反向代理的三种 TLS 处理模式——终止、透传与重加密。从架构对比到 SNI 路由、证书管理、性能影响与安全权衡,给出生产环境的工程选型依据。
【网络工程】加密 DNS:DoH、DoT 与 DoQ 的工程部署
DNS 明文传输让运营商、WiFi 热点运营者和网络中间人能够窃听和篡改 DNS 查询。DoH、DoT、DoQ 三种加密 DNS 协议各自解决了不同场景的需求。本文对比三种协议的技术细节、性能差异和部署方式,分析企业环境中加密 DNS 的选型决策与落地实践。
【网络工程】TLS 1.2 握手完整解剖:从 ClientHello 到 Application Data
TLS 1.2 握手是 HTTPS 的基础机制。本文逐包分析完整握手的每一步——ClientHello 的密码套件协商、ServerHello 的参数选择、证书验证、密钥交换(RSA vs ECDHE)的安全差异,以及 ChangeCipherSpec 到 Application Data 的完整流程。结合 Wireshark 抓包和 OpenSSL 命令实操。
【网络工程】TLS 1.3 工程实践:1-RTT 与 0-RTT 的安全权衡
TLS 1.3 将握手从 2 RTT 压缩到 1 RTT,并引入了 0-RTT 恢复模式。本文从工程视角剖析 TLS 1.3 的简化设计——移除了哪些不安全的特性、1-RTT 握手的每一步变化、PSK 模式与 0-RTT 的重放攻击风险控制,以及从 TLS 1.2 升级的工程路径和兼容性陷阱。
【网络工程】证书工程:PKI 体系、ACME 与自动化管理
证书过期宕机是最常见也最可避免的生产事故。本文从工程角度剖析 X.509 证书结构、PKI 信任链的工作原理、ACME 协议与 Let's Encrypt 的自动化部署、私有 CA 的搭建实践,以及 cert-manager 在 Kubernetes 中的证书管理方案。覆盖证书监控、轮换策略与过期告警的完整工程体系。
【网络工程】mTLS 工程实践:服务间双向认证
mTLS(双向 TLS)在微服务架构中实现服务间的身份认证和通信加密。本文从工程角度剖析 mTLS 的握手流程差异、证书分发的三种模式、SPIFFE/SPIRE 的标准化身份框架,以及 Istio 和 Linkerd 中 mTLS 的实现原理。覆盖性能开销测量、调试方法和大规模部署的证书轮换策略。
【网络工程】TLS 性能优化:会话恢复、OCSP Stapling 与硬件加速
TLS 握手的性能开销是 HTTPS 服务的隐性成本。本文从会话恢复(Session Ticket、PSK Resumption)、OCSP Stapling、AES-NI 硬件加速三个维度剖析 TLS 性能优化的工程实践,给出 Nginx/OpenSSL 的完整配置方案与基准测试方法论。
【网络工程】TLS 攻防:降级攻击、中间人与协议漏洞
TLS 协议在过去二十年里暴露了一系列严重漏洞。本文从攻击原理到防御工程,系统性剖析 BEAST、POODLE、Heartbleed、DROWN 等经典攻击的技术本质,详解版本降级攻击与 TLS_FALLBACK_SCSV 防御、CBC padding oracle 攻击的数学原理、以及生产环境的 TLS 安全配置检查清单。
国密算法与国密 TLS 系列索引
从 SM3/SM4/SM2 的设计对比到国密 TLS 握手、生态落地、PQC 迁移——国密技术的完整知识图谱。
【国密算法与国密 TLS 系列】PQC 迁移工程指南:不是把 RSA 换掉就完了——国密怎么办
从 Hybrid 模式到证书链迁移,从 NIST ML-KEM/ML-DSA 到国密 SM2 的量子威胁,一份面向工程落地的后量子密码迁移指南。
【QUIC 协议拆解】QUIC 协议拆解(上):为什么 TCP 改不动了
打开一个网页要握手几次?TCP 三次 + TLS 一次 = 至少 2 RTT。QUIC 说:我一次搞定,重连甚至 0 次。不是 TCP 不够好,是它的基因决定了它改不动。