本書是集理論、協議細節、漏洞分析、部署建議于一體的詳盡 Web 應用安全指南。書中具體內容包括 ：密碼學基礎，TLS 協議，PKI 體系及其安全性，HTTP 和瀏覽器問題，協議漏洞 ；最新的攻擊形式，如 BEAST、CRIME、BREACH、Lucky 13 等；詳盡的部署建議；如何使用 OpenSSL 生成密鑰和確認信息；如何使用 Apache httpd、IIS、Nginx 等進行安全配置。本書適合 Web 開發人員、系統管理員和所有對 Web 應用安全感興趣的讀者。

　　本書的存在是為了記錄在實際的日常工作中需要了解的關于SSL/TLS和PKI的一切。我著眼于正確地結合理論、協議細節、漏洞和弱點信息以及部署建議，以幫助讀者完成工作。在撰寫本書時，我想象有以下三個群體的代表密切注視著我，希望我回答他們提出的問題。? 系統管理員系統管理員一貫時間有限而被迫處理系統上日益增加的安全問題，因此他們需要有關TLS 的可靠指導，從而可以快速有效地配置他們的服務器。盲目相信從網絡上找到的信息往往適得其反，因為有非常多不正確和過時的信息。? 開發人員雖然SSL從誕生之初就承諾為基于TCP的協議提供透明的安全保障，但現實情況卻是開發人員在確保應用安全的任務中扮演著十分重要的角色。對Web應用而言尤其如此，因為 Web應用一邊圍繞著SSL和TLS構建安全，一邊整合著各種會破壞安全性的特性。理論上 “僅僅啟用加密”即可，而實踐中不僅需要啟用加密，同時也需要關注許多破壞安全性的問題，不論它們是大是小。在本書中，我盡力不遺漏這類讀者可能會遇到的每一個問題。? 管理人員最后是管理人員，雖然他們不必關心實施細節，但仍然需要理解發生了什么并做出決策。安全領域變得越來越復雜，理解攻擊和威脅往往就是其工作的一部分。解決問題的方法經常不止一種，最好的方法往往是依情況而定。總之，本書內容全面覆蓋了HTTP和Web應用，但幾乎沒有提及其他協議。這主要是因為瀏覽器。瀏覽器已經成為最流行的應用分發平臺，而HTTP在瀏覽器上運用加密的方法非常特殊，帶來了很多問題。因此本書才花了非常多的篇幅講HTTP。事實上，除了有關HTTP的章節，全書仍有三分之二的內容提供了可以應用到任何使用TLS 協議的一般性指導。關于OpenSSL、Java和Microsoft的幾章分別為相應的平臺提供了協議的一般信息。也就是說，如果各位讀者正在尋找Web服務器以外的其他產品的配置示例，那么將無法在本書中找到。因為Web服務器主要由幾大平臺占據，其他類型的應用則有大量的產品。只提供Web 服務器相關的最新指導已經是相當大的挑戰了，畢竟Web服務器一直在不斷發展。我無法在更大的范圍跟進，因此有意將其他配置示例發布在網上，并希望能夠在社區中起到拋磚引玉的作用，從而保持這些指導及時更新。

　　本書主要內容共16章，分為若干部分。這些部分彼此依托，構成一幅完整的藍圖，始于理論介紹，最后給出實踐建議。第一部分包括第1~3章，是全書的基礎，討論了密碼學、SSL、TLS和PKI。? 第1章 SSL、TLS和密碼學這一章首先介紹了SSL和TLS，討論這些安全協議從哪里融入互聯網基礎設施；其余部分介紹密碼學，并討論了主動網絡攻擊者的經典威脅模型。? 第2章 協議這一章討論TLS協議的各種細節，內容覆蓋了最新的TLS 1.2，并酌情提供了早期版本的信息。這一章最后包括了從SSL 3起協議演變的概述以供參考。? 第3章 公鑰基礎設施這一章介紹互聯網PKI。PKI是當今互聯網上使用的主要信任模型。這一章著重介紹其標準、組織、管理、生態系統的弱點以及未來可能的改進。第二部分包括第4~7章，詳細列舉各種問題。這些問題與信任基礎設施、安全協議以及實現它們的庫和程序有關。? 第4章 攻擊PKI 這一章內容涉及對信任體系的攻擊，涵蓋了所有主要的CA事故，詳細列舉了種種弱點、攻擊和效果。這一章以純粹的歷史視角來回顧PKI體系的安全性，這對于理解其發展非常重要。? 第5章 HTTP和瀏覽器問題這一章講述HTTP和TLS之間的關系，在Web出現根本性增長后產生的問題，以及不同的網絡體系之間雜亂的相互作用。? 第6章 實現問題這一章內容包括隨機數生成、證書驗證以及其他核心TLS和PKI功能的設計和編碼錯誤。此外，還討論了自愿協議降級和截斷攻擊，涵蓋心臟出血、FREAK和Logjam等備受矚目的攻擊。? 第7章 協議攻擊這是本書中篇幅最長的一章，涵蓋了近年來發現的所有主要的協議缺陷：不安全的重新協商、BEAST、CRIME、Lucky 13、POODLE和POODLE TLS、RC4、TIME和BREACH，以及三次握手攻擊。這一章還簡單討論了Bull Run項目及其對于TLS安全性的影響。第三部分包括第8~10章，為以安全且高效的方式部署TLS提供了綜合指導。? 第8章 部署這一章是整本書的地圖，提供了如何一步一步地部署安全且工作良好的TLS服務器和Web 應用的操作指南。? 第9章 性能優化這一章著眼于TLS的速度，為那些希望從服務器中榨取每一點速度的讀者詳述了各種提升性能的技術。? 第10章 HTTP嚴格傳輸安全、內容安全策略和釘扎這一章涉及加強Web應用的一些高級主題，比如HTTP嚴格傳輸安全和內容安全策略。這一章也涉及釘扎，它是減少由當前PKI模型帶來的龐大攻擊面的有效方法。第四部分是最后一部分，由第11~16章組成，為在主流部署平臺和Web服務器上使用和配置 TLS以及如何使用OpenSSL探測服務器配置提供可行的指導。? 第11章 OpenSSL 這一章描述了OpenSSL最常用的功能，主要介紹其安裝、配置、私鑰和證書管理。最后的11.4節給出如何構建和管理一個私有證書頒發機構的操作指南。? 第12章 使用OpenSSL進行測試這一章繼續介紹OpenSSL，解釋如何使用它的命令行工具測試服務器配置。盡管使用自動化工具測試經常更加簡單，但當讀者想確定當前具體的情況時，仍然可以使用OpenSSL 工具。? 第13章 配置Apache 這一章討論流行的Web服務器Apache httpd的TLS配置。從這一章開始，將有一系列章節提供實踐指導，與前面章節的理論相配合。每一章都專注于一個主要的技術層面。? 第14章 配置Java和Tomcat 這一章涉及Java（第7版和第8版）和Tomcat服務器。除了配置信息，這章也包含Web應用安全的指導。? 第15章 配置Microsoft Windows和IIS 這一章討論在Microsoft Windows平臺和Internet Information Server上部署TLS的問題，也為在ASP.NET下運行的Web應用上使用TLS提供指導。? 第16章 配置Nginx 這一章討論Nginx服務器，除了闡述最新穩定版的特性，也會對開發分支中的一些改進一探究竟。