Questions tagged «ssl»

我的托管服务提供商最近为我的域重新颁发了SSL证书，并重新安装了SSL证书，因为这些证书让旧的证书误过期了。 现在，我可以再次通过HTTPS 浏览该网站，我的主机也可以，其他许多用户也可以。 但是，某些用户（至少数百个用户中的至少十二个）仍在Your connection is not secure不同的浏览器和平台上收到错误消息。（事实证明，很难诊断出我无法复制的问题。） 我了解不同的浏览器使用不同的证书颁发机构（CA）列表。 如果我没有运行相同版本的Firefox（在OS X上为45.0.1），却出现SEC_ERROR_UNKNOWN_ISSUER错误（仅适用于我的网站），为什么？有什么可能呢？该用户清除了缓存并重新启动了笔记本电脑。 我在digicert.com上运行了SSL检查。结果是这样的： SSL证书不受信任 证书不是由受信任的机构签名的（请检查Mozilla的根存储）。如果您是从受信任的机构购买的证书，则可能只需要安装一个或多个中间证书。请与证书提供商联系，以获取针对您的服务器平台的帮助。 在这种情况下，我怎么能在没有SSL错误的情况下连接到站点？

11 ssl  ssl-certificate 

问题：由于iOS 9现在使用ATS，因此我们的移动应用程序无法再与我们的Web服务建立安全连接。 背景： iOS 9引入了App Transport Security 服务器设置： Windows Server 2008 R2 SP1（VM）IIS 7.5，来自digicert的SSL证书。Windows防火墙关闭。 密钥RSA 2048位（e 65537） 发行者DigiCert SHA2安全服务器CA 签名算法SHA512withRSA 这些是应用程序传输安全性要求： 服务器必须至少支持传输层安全性（TLS）协议版本1.2。连接密码仅限于提供前向保密性的密码（请参阅下面的密码列表。）证书必须使用SHA256或更好的签名哈希算法进行签名，并使用2048位或更高的RSA密钥或256位或更高的Elliptic-Curve （ECC）键。无效的证书会导致严重故障并且无法连接。这些是公认的密码： TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 已经尝试了什么： 在移动应用程序中添加例外以允许我们的域工作，但是我不想使用这种不安全的方法，我想修复我们的SSL。 使用IIS Crypto来使用“最佳实践”，尝试过“ pci”和自定义设置。甚至尝试将加密套件修改为上面的列表，然后重新排序。每次尝试后，服务器将重新启动，并且SSL Labs已运行（清除缓存后）。我成功地从F等级升级到A甚至A-，但这仅导致iOS 8和9无法建立安全连接。（NSURLErrorDomain代码= -1200和_kCFStreamErrorCodeKey = -9806） 恢复了VM，并尝试了Powershell脚本为SSL完美的IIS和TLS 1.2设置了IIS我什至进行了第二次尝试，在该过程中，我将Power脚本中的密码加密为所需内容的最小清单。 结果：始终相似，等级为A或A-。iOS8和iOS9无法协商安全连接。握手模拟会导致Safari和iOS产品出现“协议或密码套件不匹配”的情况。 更新在获得Apple支持之后，我们进行了一些数据包跟踪捕获： $ tcpdump …

11 ssl  iis-7.5  tls  ios  safari 

我正在Apache服务器后面运行两项服务：Jenkins（端口8080）和SonarQube（端口9000）。 我的Apache配置看起来像这样： <VirtualHost *:80> ServerName server Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:80> ServerName server.domain.com Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:443> ServerName server.domain.com SSLEngine on SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key ProxyPass /jenkins http://localhost:8080/jenkins nocanon ProxyPassReverse /jenkins http://localhost:8080/jenkins ProxyPassReverse /jenkins http://server.domain.com/jenkins ProxyPassReverse /jenkins https://server.domain.com/jenkins ProxyPass /sonar http://localhost:9000/sonar nocanon ProxyPassReverse /sonar http://localhost:9000/sonar …

11 apache-2.2  ssl  ssl-certificate  apache-2.4  jenkins 

我想知道有多少浏览器在向我们的Web服务器发出HTTP请求时拒绝了我们的SSL证书。我们正在使用一个免费的CA，现在看来它已被大多数现代浏览器所认可，但是我想获得一些数字，而不必详尽地测试浏览器和操作系统的组合。 我知道证书验证失败时浏览器会终止连接，因此Apache有什么方法可以检测到该连接？我不希望得到特定的诊断信息-仅存在证书/ SSL问题就足够了。

11 apache-2.2  security  ssl  ssl-certificate 

为Windows 2008 R2服务器生成CSR，并且需要确保用于CSR的私钥是新的。 我曾经使用OpenSSL创建自己的自签名证书进行测试，如果我没记错的话，我能够指定要使用的私钥。 在IIS服务器证书中，从不要求我生成或选择私钥。 那么，在基于Windows的服务器上生成CSR是否总是为其创建新的私钥吗？如果没有，如何确保制作/使用了新的私钥？

11 windows-server-2008-r2  ssl  iis-7.5  private-key  csr 

我正在尝试在Ubuntu服务器上安装SSL证书。我已经从我的CA购买了证书，并下载了证书本身和中间证书。因此： 我的证书： mydomain.crt 中级证书： GandiStandardSSLCA.pem 我也有（使用openssl制作） 我的私钥（？）： mydomain.key 和签名请求： mydomain.csr 我已将所有这些文件上传到服务器，并遵循了将证书与中间件合并的指南： cat mydomain.crt GandiStandardSSLCA.pem > mydomain-bundle.crt 然后，将以下内容添加到我的vhost的配置中： listen 443 ssl; ssl_certificate /etc/nginx/ssl/mydomain-bundle.crt; ssl_certificate_key /etc/nginx/ssl/mydomain.key; 但是当我重新启动nginx时，出现此错误： *重新启动nginx *停止nginx nginx [OK] nginx：[emerg] SSL_CTX_use_PrivateKey_file（“ / etc / nginx / ssl / mydomain.key”）失败（SSL：错误：0B080074：x509证书例程：X509_check_private_key：密钥值不匹配）nginx：配置文件/etc/nginx/nginx.conf测试失败 有什么想法为什么以及如何解决？

11 nginx  ssl 

用于SSLCertificateFile和SSLCertificateKeyFile指令的Apache mod_ssl文档指出，强烈建议不要在同一文件中存储私钥和SSL证书。 现在，显然应该保护私钥文件的安全，但是假设是这种情况，将证书存储在同一文件中是否有特定的风险？我很想知道为什么支持这种行为，但是强烈建议不要进行解释。

11 apache-2.2  ssl  web-server  mod-ssl 

如果出现问题，我需要我的脚本向管理员发送电子邮件，并且该公司仅使用Gmail。按照一些发布说明，我能够使用.mailrc文件设置mailx。首先是nss-config-dir的错误，我通过从firefox目录复制一些.db文件解决了该问题。到./certs并以mailrc为目标。已发送邮件。 但是，上面的错误出现了。出于某种奇迹，.db中有一个Google证书。它通过以下命令显示： ~]$ certutil -L -d certs Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI GeoTrust SSL CA ,, VeriSign Class 3 Secure Server CA - G3 ,, Microsoft Internet Authority ,, VeriSign Class 3 Extended Validation SSL CA ,, Akamai Subordinate CA 3 ,, MSIT Machine Auth CA 2 ,, Google Internet …

11 ssl  bash  gmail 

我希望配置OpenSSL，以便在运行openssl req -new以生成新的证书签名请求时，系统提示我输入要包含在CSR中的任何其他主题名称。 我已将此行添加到[req_attributes]我的部分openssl.cnf： subjectAltName = Alternative subject names 这具有理想的效果，现在在生成CSR时提示我输入SAN： $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or …

11 ssl  ssl-certificate  openssl  certificate 

我听说，当将多个名称添加到单个SAN证书（主题备用名称）时，性能开始下降。 有人可以解释SAN证书的处理方式，以便我了解随着SAN名称增加而导致性能成本下降的原因吗？

11 ssl  ssl-certificate  certificate 

我有一个在RHEL4上运行Apache 2.0的Web服务器。该服务器最近无法通过PCI扫描。 原因：SSLv3.0 / TLSv1.0协议弱的CBC模式漏洞解决方案：此攻击在2004年和TLS协议的更高版本中被发现，其中对此问题进行了修复。如果可能，请升级到TLSv1.1或TLSv1.2。如果无法升级到TLSv1.1或TLSv1.2，则禁用CBC模式密码将消除此漏洞。在Apache中使用以下SSL配置可以缓解此漏洞：SSLCipherSuite RC4-SHA：HIGH：！ADH上的SSLHonorCipherOrder 我想简单的解决。我将这些行添加到了Apache配置中，但是没有用。显然， “ SSLHonorCipherOrder On”仅适用于Apache 2.2及更高版本。我尝试升级Apache，不久就遇到了依赖地狱，看来我必须升级整个操作系统才能升级到Apache 2.2。我们将在几个月后淘汰此服务器，因此不值得。 该解决方案说：“如果无法升级到TLSv1.1或TLSv1.2，则禁用CBC模式密码将消除此漏洞。” 我将如何在Apache 2.0上执行此操作？这有可能吗？如果没有，还有其他解决方法吗？

11 apache-2.2  ssl  tls 

我正在尝试将所有URL重定向到Web应用程序中的https。 我在弹性负载平衡器后面有一个ec2实例。SSL在负载均衡器上终止。 任何重定向尝试最终都会给我熟悉的“此页面正在以一种永远无法完成的方式进行请求”。 负载平衡器将443和80转发到实例上的端口80。 这就是我的.htaccess文件中的内容。 RewriteCond %{X-FORWARDED-PROTO} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 有谁知道如何做到这一点？谢谢，

11 ssl  .htaccess  amazon-web-services  amazon-elb 

我有一个Web应用程序，只能通过HTTPS访问。 是否有可能，并且完全关闭端口80的明智主意？ 除了浏览器无法以非加密方式访问端口80之外，关闭端口80还有什么缺点吗？ 搜索引擎可见性不是优先事项。

11 apache-2.2  ssl  https 

在IIS 7.5上，我试图通过两个网站来实现这一目标： Default Web Site is bound to: (blank host header port 80 - http) (blank host header port 443 - https) go.example.com www71.example.com the IP address of go.example.com 2nd web site "Beta" is bound to: beta.example.com (blank host header port 443 - https) * using blank only because it …

11 iis  ssl  configuration  hostname  bindings 

我正在本地主机上使用域和子域开发Web应用程序，我想使用HTTPS连接。在我的Mac OS上，为了启用SSL，我需要正确设置Apache，因此我遵循一些指南来完成其中的一部分。 现在是时候选择一个证书来测试HTTPS请求了。我看到了cacert.pem，但是我不知道如何使用它以及它的用途（您能向我解释一下它的用法吗？）... 因此，是否有可能使用cacert.pem（见链接）对所有我的域和子域（也许，作为一个通配符证书在本地主机上）？ 如果是这样，该怎么做？我必须拿和使用什么证书？ 如果没有，我需要什么才能使用做通配符证书对所有我的本地主机上域和子域？ 当然，这些证书必须被浏览器接受并且可以在我的域之间进行HTTPS连接。

11 apache-2.2  ssl  domain  ssl-certificate  localhost