Questions tagged «https»

我正在使用nginx，并且想要实现SSL会话恢复。我应该如何测试它是否有效？ 我已启用以下设置： ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;

11 nginx  ssl  https 

我已经配置了一个AWS ELB指向运行Wordpress 3.2.1的Ubuntu Server。在服务器上一切正常之前，直到将其放在负载均衡器之后。 我设置了负载均衡器，将端口80转发到端口80，将端口443转发到端口80。 我设置了虚拟主机文件，以检查来自elb的标头： RewriteCond％{HTTP：X-Forwarded-Proto}上的RewriteEngine ！https RewriteRule！/ status https：//％ {SERVER_NAME}％{REQUEST_URI} [L，R] 现在，每当我转到https url时，都会收到以下消息： 该网页具有重定向循环 该网页位于https://mywebsite.com/securepage/，导致重定向过多 一旦我禁用了wordpress https插件 （http://wordpress.org/extend/plugins/wordpress-https/） ，页面就可以工作了，但是现在充满了混杂的内容。应该为https的页面不再是https。 当我直接访问服务器而不是通过elb时，它将再次起作用。 关于如何使它与AWS ELB一起使用的任何想法？

11 https  wordpress  amazon-web-services  amazon-elb 

我偶尔会收到以下421错误： 错误请求 客户端需要用于此请求的新连接，因为请求的主机名与用于该连接的服务器名称指示（SNI）不匹配。 但是，刷新浏览器可以清除错误，并且页面可以正常加载。下次加载该页面时将不会产生错误，因此该模式看起来非常随机。我可以看到的唯一模式是，当我使用header（“ Location：”。$ url）;重定向页面时，可能会发生这种情况。 我有来自Comodo的PositiveSSL多域证书。我的服务器是共享Web托管服务上的Apache，因此我无权访问该配置。 我从一个域加载页面，并且页面内是指向证书上第二个域的链接。 我已阅读的有关此错误的所有内容似乎都表明此问题与作为多域证书有关。 我想知道的是，在网页（php）编码方面是否有任何事情可能导致此问题（并且可以解决），或者是配置错误还是服务器错误，只有我的托管服务可以修理它。 到目前为止，我的托管服务无法提供任何服务，因此要求您致电告知下一次发生的确切时间，以便他们进行调查。任何帮助将不胜感激，因为我不太相信他们能解决这个问题。 更新 大约两年后，确定是时候应对它了。通过删除提供图片和JavaScript的静态域，我能够解决大多数问题。但是，我仍在为其中一些内容使用第二个域，特别是Safari仍然给我带来了问题。 我做了更多的研究，然后在这里碰到另一篇文章。正是@Kevin所描述的。该文章确认它在Safari中发生。因此，根据建议，我着手为每个域获取单独的证书。我在共享主机（Webhostinghub）上，发现它们现在提供免费的SSL（AutoSSL），可以自动续订。听起来确实不错。他们为我设置了5张免费证书。到目前为止，一切都很好。我什至可以尝试重新启用静态域以进行测试。如果这一切都行得通，我将节省$奖金作为启动费用，并让我的Comodo证书在7月过期。

11 ssl  apache-2.4  https 

我正在打电话 curl -v ... https://... 并且详细输出包含 .... * ALPN, offering http/1.1 * SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256 * server certificate verification OK .... * ALPN, server did not agree to a protocol * Server auth using Basic with user 'api' > POST /v3/pindertek.com/messages HTTP/1.1 > Host: api.mailgun.net > Authorization: …

11 ssl  https  curl  http-basic-authentication  alpn 

CloudFlare提供ssl支持。但是，如果访问者访问受CloudFlare保护的网站，CloudFlare是否能够知道在此访问期间传输的纯数据？ 有一些SSL选项： 灵活的SSL 全SSL 完全SSL（严格） 我知道对于Flexible SSL，CloudFlare可能知道纯数据，因为该数据已由CloudFlare解密并不安全地发送到Web服务器。 完全SSL和完全SSL（严格）又如何呢？CloudFlare是否先解密然后再加密以发送到Web服务器？

11 https  cloudflare 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 好的，所以我以前从没有使用SSL / HTTPS的经验，我只处理过标准的HTTP。最近，我开始在需要SSL的网站上工作。所以，当然，我出去研究了如何开始。我已经到了成功安装SSL证书的阶段-出现绿色的挂锁，并且服务器在端口443上响应HTTPS请求。我的问题是，无论如何我都无法使用HTTPS /来显示任何页面SSL，但是它们在端口80 / HTTP上看起来很好（直到我将HTTP重定向到HTTPS为止）。 简单地说，我可以很好地访问HTTPS站点，但是不会发送我的页面，而是为每个请求发送404。 /etc/apache2/sites-available/[name].conf <VirtualHost *:80> ServerName [serverName] RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=302] </VirtualHost> <VirtualHost *:443> ServerName [serverName] ServerAdmin [email] DocumentRoot [docRoot] # I know the following SSL cert stuff is correct SSLEngine On SSLCertificateFile [...]/[domain].crt SSLCertificateKeyFile [...]/[certificate].key …

10 apache-2.4  configuration  https  http-status-code-404  raspbian 

首先，对不起我的英语不好。我还在学习。它去了： 当我每个IP地址托管一个网站时，我可以使用“纯” SSL（不带SNI），并且在用户甚至告诉我要检索的主机名和路径之前就进行了密钥交换。交换密钥后，可以安全地交换所有数据。就是说，如果有人碰巧正在嗅探网络，则不会泄漏任何机密信息*（请参阅脚注）。 另一方面，如果我每个IP地址托管多个网站，则我可能会使用SNI，因此，网站访问者必须告诉我目标主机名，然后才能为其提供正确的证书。在这种情况下，嗅探他的网络的人可以跟踪他正在访问的所有网站域。 我的假设是否有任何错误？如果不是，假设用户也使用加密的DNS，这是否代表隐私问题？ 脚注：我还意识到，嗅探器可以对IP地址进行反向查找，并找出访问了哪些网站，但是通过网络电缆以明文形式传输的主机名似乎使审查机构更容易使用基于关键字的域阻止。

10 ssl  https  privacy  sni 

客户端仅对域的www.site.com版本具有SSL证书，而对site.com没有SSL证书。 通过mod_rewrite重定向常规HTTP并不是问题。 但是，这种方法对于我们来说对于HTTPS似乎失败了。 我们希望将https://site.com请求重定向到https://www.site.com。 是否可以在浏览器中不发出无效证书警告或获取通配符证书的情况下完成此操作？

10 apache-2.2  ssl  mod-rewrite  https 

我想将tunnel放在haproxy 1.4之前，以处理HTTPS流量。我还需要一个隧道来添加X-Forwarded-For标头。这可以通过 haproxy网站上的“ stunnel-4.xx-xforwarded-for.diff” 补丁来实现。 但是，描述中提到： 请注意，此修补程序不适用于keep-alive，... 我的问题是：这对我实际上意味着什么？我不确定 如果这是关于之间的保持活跃 客户和隧道 刺儿和haproxy 或haproxy和后端服务器？ 这对性能意味着什么：如果我在一个网页上有100个图标，浏览器是否必须协商100个完整的SSL连接，还是可以仅创建新的TCP连接就重新使用SSL连接？

10 ssl  https  tcp  haproxy  stunnel 

我试图说服客户为需要登录的网站支付SSL费用。我想确保我正确理解了有人可以看到正在发送的密码的主要情况。 我的理解是，在此过程中的任何跃点都可以使用数据包分析器查看正在发送的内容。 这似乎要求任何黑客（或其恶意软件/僵尸网络）必须与数据包到达其目的地所经过的任何跃点位于同一子网中。那正确吗？ 假设此子网要求具有某种意义，我是否需要担心所有跃点还是仅担心第一个跃点？我显然可以担心第一个问题，因为它们是否在公共Wifi网络上，因为任何人都可以侦听。 我是否应该担心数据包将在此之外传播的子网中发生了什么？ 我对网络流量一无所知，但是我认为它正在流经主要运营商的数据中心，那里没有很多多汁的攻击媒介，但是如果我错了，请纠正我。 在使用数据包分析器进行监听的人员之外，还有其他需要担心的问题吗？ 我是网络和安全领域的新手，因此，如果我在任何一种情况下使用了错误的术语，请随时说明我的意思。

10 security  ssl  https  hacking  packet-sniffer 

请看下图。 这应该如何工作？ 当远程请求http：// myhost.com:8080/*时，应将请求转发到侦听回送接口端口8008的http服务器。这是简单的部分。 当远程用户请求http：// myhost.com:8080/specialurl ... 充当应用程序级别网关的程序应该能够将连接升级到加密的会话（无需更改端口） 与远程浏览器建立加密会话后，它应将请求转发到侦听回送接口端口8000的C程序。 我的问题是： 您是否曾经在生产环境中部署过这样的解决方案？如果你有... 您使用什么产品充当应用程序网关？ 您能否提供一个配置示例？ 硬限制： 我无法控制防火墙，并且我可以通过该端口将外部流量传入内部服务器的唯一端口是8080。该端口号无关紧要，问题是在防火墙级别只有一个开放的端口可以转发入站内部服务器的流量。 内部服务器必须正在运行Linux（当前正在运行Debian Lenny） 远程用户只需要使用当前的Web浏览器和Internet连接即可访问该服务器。这意味着此处不能通过SSH进行反向端口转发。 我需要一种已经在生产中经过测试并且可以轻松部署的产品。我不想开发自己的应用程序网关（如果是这种情况，我想我会在Stack Overflow上问这个问题，而不是在Server Fault上问这个问题）。 软限制： 我想避免将Apache用作应用程序网关（尽管如果这是唯一的选择，我愿意这样做） 如果可能，应用程序网关应该是成熟的开源软件产品。 到目前为止，产品已尝试作为应用程序网关（没有成功） Nginx的 lighttpd 磅 相关RFC RFC2817（... 说明了如何使用HTTP / 1.1中的升级机制通过现有的TCP连接来发起传输层安全性（TLS）。这允许不受保护的HTTP流量共享相同的知名端口。） RFC2818（... 描述了如何使用TLS来保护Internet上的HTTP连接。目前的做法是在SSL（TLS的前身）上对HTTP进行分层，通过使用不同的服务器端口来区分安全流量和不安全流量 ... ）

10 linux  nginx  http  https  lighttpd 

我正在尝试将非www请求重定向到Amazon Route 53上的www。 我用裸域的名称制作了一个S3存储桶，并将存储桶属性配置为从example.com重定向到www.example.com，然后在Route 53中为裸域名创建一个别名，该别名指向基于在以下内容上： 将非www请求重定向到Amazon Route 53上的www 除了HTTPS之外，它对我来说非常有用。 目前由于某种原因我无法访问https://example.com。 任何帮助将不胜感激。

10 https  amazon-route53 

我曾经使用SSL证书运营网站，但已停止使用SSL证书。问题在于该网站的大多数外部链接都使用https：//前缀。 我尝试在.htaccess文件中使用https：//重定向到http：//： RewriteEngine On RewriteCond %{HTTPS} on RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} 但是，正如在其他地方所指出的那样，服务器似乎在激活重定向之前试图检索证书。因此，在完成重定向之前会显示一个错误。该错误是警告证书已过期，或者是如果我删除证书签名请求，则错误是SSL收到的记录超过最大允许长度的错误。 有什么方法可以允许传入链接正确重定向？

10 apache-2.2  web-server  .htaccess  http  https 

由于基础结构的限制，为世界提供HTTP服务的建议解决方案之一是通过端口8080和8443提供该服务。 我担心的是，某些用户可能无法访问这些服务，因为它们不在标准端口上运行，并且内容可能被（例如）作为公司网络策略的一部分进行了过滤。 那么...整个互联网上的用户可能无法访问这些服务的可能性有多大？

9 web-server  http  https  port 

这是关于我的问题的一些背景： 我在Heroku上运行的Web服务带有一个动态IP地址。Heroku上的静态IP不是一个选项。 我需要连接到防火墙后面的外部Web服务。操作外部Web服务的人员只会将其防火墙打开到特定的静态IP。 我尝试的解决方案是在具有静态IP的单独服务器上使用Squid，将来自Heroku的请求转发到外部服务。这样，外部服务将始终看到代理服务器的静态IP，而不是Heroku服务的动态IP。 由于我的代理服务器不能依赖IP地址进行身份验证（这就是开始的问题！），因此它必须依赖用户名和密码。此外，用户名和密码不能以明文形式传输，因为如果攻击者拦截该明文，则他们可以连接到我的代理并假装是我，使用我的代理的静态IP发出出站请求，从而逃避了外部Web服务的防火墙。 因此，Squid代理必须仅接受通过HTTPS（而不是HTTP）的连接。（到外部Web服务的连接可能是HTTP或HTTPS。） 我在CentOS 6.5.x上运行Squid 3.1.10，这是我squid.conf到目前为止的事情。仅出于故障排除的目的，我已临时启用HTTP和HTTPS代理，但我只想使用HTTPS。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing …

9 proxy  https  squid  heroku