Questions tagged «ssl»

我正在打电话 curl -v ... https://... 并且详细输出包含 .... * ALPN, offering http/1.1 * SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256 * server certificate verification OK .... * ALPN, server did not agree to a protocol * Server auth using Basic with user 'api' > POST /v3/pindertek.com/messages HTTP/1.1 > Host: api.mailgun.net > Authorization: …

11 ssl  https  curl  http-basic-authentication  alpn 

我正在DigitalOcean上配置服务器，尽管我从ssllabs获得了A +评分， https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz 当我连接到我的网站https://www.zandu.biz或https://zandu.biz时，我在Chrome中收到一个不安全的通知。 我该如何解决？

10 ssl  apache-2.4  lets-encrypt 

由于我想在SSL证书中设置“必须订书钉”属性，因此我进行了一些研究以发现我的所有服务是否都支持OCSP装订。到目前为止，我发现Apache可以使用SSLLabs.com进行确认。 但是除此之外，我无法确认我的其他两个服务（SMTP和IMAP）是否也支持OCSP装订。现在我的问题是，Postfix和Dovecot是否也支持它？ PS：我知道证书对于邮件传输似乎并不重要，但是我想避免任何可能的问题，如果我添加了属性，并且客户端可能因此而拒绝工作，而其他人可能会拒绝工作。从中受益。

10 ssl  postfix  dovecot  ocsp 

当我设置cronjob来每30天更新一次LetsEncrypt证书时，是否可以设置Public-Key-Pins？ 如果证书被更新，那么公钥也被更新，对吗？

10 ssl  ssl-certificate  tls  http-headers  public-key 

我的网站https://www.snipsalonsoftware.com/的SSL证书在Android上不起作用。在解决此问题时，我已将网站插入Qualys SSL Labs测试工具： https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.1​​81.104 该报告似乎告诉我我有“连锁问题”。某些东西是“不完整的”。但是我很难准确地理解哪些是不完整的。 在下一节的“证书路径”下，我看到橙色（并且我猜橙色表示“有点不好”）“额外下载”。我不知道这意味着什么或如何解决。我找到了这个线程，但是我无法告诉他们如何将他们所说的变成我的解决方案。 我该怎么办？

10 ssl 

我有一个问题以不同的方式提出来，但是我仍然找不到解决方案。 我的问题是我正在使用SSL和Windows XP上的Internet Explorer 7在debian上的Apache 2.4上托管一个网站 Internet Explorer cannot display the webpage 我只有一个使用ssl的虚拟主机，但是使用http的其他虚拟主机。这是我启用SSL的网站的配置（未链接etc / sites-avaible / default-ssl） <Virtualhost xx.yyy.86.193:443> ServerName www.my-certified-domain.de ServerAlias my-certified-domain.de DocumentRoot "/var/local/www/my-certified-domain.de/current/www" Alias /files "/var/local/www/my-certified-domain.de/current/files" CustomLog /var/log/apache2/access.my-certified-domain.de.log combined <Directory "/var/local/www/my-certified-domain.de/current/www"> AllowOverride All </Directory> SSLEngine on SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca BrowserMatch "MSIE [2-8]" nokeepalive …

10 apache-2.2  ssl  internet-explorer 

情况：酒店客人试图通过我们的强制门户访问互联网。问题：Google，Yahoo和现在越来越多的站点将所有主页重定向到HTTPS，因此当我们将访客重定向到我们的登录页面时，访客会收到证书错误。SSL的适当目的是精确地做到这一点，但想知道是否存在另一种方法来管理来宾登录确认过程，以确认其身份，然后再启用通过防火墙的访问。吓坏了不了解的客人。对于强制性门户/身份验证过程，基本上需要一种不同的体系结构，并想知道任何人的想法。谢谢。

10 ssl  redirect 

到目前为止，我尚未将SNI与nginx结合使用。但是，随着IP地址池已满，并且商业XP支持即将（最终）停止，我正在考虑将一些站点转换为SNI。 我知道SNI（XP问题，非常老的浏览器）可能会带来一些一般性的限制和陷阱。但是除此之外，我还有什么要注意的？ 像-使用SNI时与Nginx相关的陷阱-近期（著名！）浏览器的问题/错误

10 nginx  ssl  sni 

我已经设置了Puppet Master / Agent，并且已经成功在Master上签署了代理的证书。但是，当我运行时，出现如下puppet agent --test错误： Warning: Unable to fetch my node definition, but the agent run will continue: Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Info: Retrieving plugin Error: /File[/var/lib/puppet/lib]: Failed to generate additional resources using 'eval_generate: SSL_connect returned=1 …

10 debian  ssl  puppet  puppetmaster  puppet-agent 

使用mod_ssl时是否可以禁用Apache 2.2.x中的SSL / TLS压缩？ 如果不是，人们在做什么以减轻旧浏览器中的CRIME / BEAST的影响？ 相关链接： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/zh_CN/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

首先，对不起我的英语不好。我还在学习。它去了： 当我每个IP地址托管一个网站时，我可以使用“纯” SSL（不带SNI），并且在用户甚至告诉我要检索的主机名和路径之前就进行了密钥交换。交换密钥后，可以安全地交换所有数据。就是说，如果有人碰巧正在嗅探网络，则不会泄漏任何机密信息*（请参阅脚注）。 另一方面，如果我每个IP地址托管多个网站，则我可能会使用SNI，因此，网站访问者必须告诉我目标主机名，然后才能为其提供正确的证书。在这种情况下，嗅探他的网络的人可以跟踪他正在访问的所有网站域。 我的假设是否有任何错误？如果不是，假设用户也使用加密的DNS，这是否代表隐私问题？ 脚注：我还意识到，嗅探器可以对IP地址进行反向查找，并找出访问了哪些网站，但是通过网络电缆以明文形式传输的主机名似乎使审查机构更容易使用基于关键字的域阻止。

10 ssl  https  privacy  sni 

在工作中，我有一堆使用纯http或自签名证书的Web界面（负载均衡器管理界面，内部Wiki，仙人掌等）。 从外部特定VLAN /网络无法访问。 对于家庭使用，我使用cacert SSL证书。 我想知道我是否应该建议我的雇主使用cacert SSL证书代替自签名证书和纯http。有人在生产中使用cacert ssl吗？优点/缺点是什么？它会提高安全性吗？更容易管理吗？有什么意外的吗？它会影响准扫描吗？我该如何说服他们？ 当然，公共网站的付费证书将保持不变。 编辑： （很好奇）公司提供的免费ssl证书似乎不是3类。我必须出示护照，并亲自出示才能从cacerts获得3类。浏览器中是否没有针对每个1类的警告？ 无论如何，我对任何免费的CA都会有同样的问题：这比使用自签名纯HTTP 好吗？为什么？ 我会这样做是为了简化服务器端的管理。我错过了什么吗？ 免责声明：我不是cacert协会成员，甚至不是Assurer，只是普通的快乐用户。

10 security  ssl 

客户端仅对域的www.site.com版本具有SSL证书，而对site.com没有SSL证书。 通过mod_rewrite重定向常规HTTP并不是问题。 但是，这种方法对于我们来说对于HTTPS似乎失败了。 我们希望将https://site.com请求重定向到https://www.site.com。 是否可以在浏览器中不发出无效证书警告或获取通配符证书的情况下完成此操作？

10 apache-2.2  ssl  mod-rewrite  https 

我有幸每周处理大约5个SSL CSR，然后将其传递给我们的CA进行检查，以检查其有效性。我在Ubuntu机器上使用OpenSSL来检查它们是否有效，测试诸如正确的OU名称，合理的CN，密钥大小> = 2048位等内容，因为我们的请求有时不正确。 前几天，我收到来自IIS7计算机的续订请求。我完全不知道如何使用OpenSSL来阅读此内容。这是有效的，因为我的CA已接受它... “ file（1）”表示这是“ RFC1421安全证书签名请求文本”，这是我在这里大约50％的CSR（其余为“ PEM证书请求”）所说的内容。 $ head iis7rcsr -----BEGIN NEW CERTIFICATE REQUEST----- MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD ... ... openssl req，它读取CSR（PKCS＃10）无法理解它... $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM …

10 iis-7  ssl  certificate  openssl 

我想将tunnel放在haproxy 1.4之前，以处理HTTPS流量。我还需要一个隧道来添加X-Forwarded-For标头。这可以通过 haproxy网站上的“ stunnel-4.xx-xforwarded-for.diff” 补丁来实现。 但是，描述中提到： 请注意，此修补程序不适用于keep-alive，... 我的问题是：这对我实际上意味着什么？我不确定 如果这是关于之间的保持活跃 客户和隧道 刺儿和haproxy 或haproxy和后端服务器？ 这对性能意味着什么：如果我在一个网页上有100个图标，浏览器是否必须协商100个完整的SSL连接，还是可以仅创建新的TCP连接就重新使用SSL连接？

10 ssl  https  tcp  haproxy  stunnel