Questions tagged «ssl»

SSL及其后继协议TLS是加密和身份验证协议,可以对TCP连接的全部内容进行加密,并可以验证建立连接的设备的身份。

5
Ubuntu上SSL证书和私钥的最佳位置
在Ubuntu上,看起来似乎是用于签名证书(供nginx使用)的私钥的最佳位置。 /etc/ssl/private/ 这个答案补充说证书应该放进去,/etc/ssl/certs/但这似乎是不安全的地方。是否.crt需要保护文件安全或将其视为公开文件?
2
带有SSL的Apache ProxyPass
我想通过非SSL站点代理来自SSL站点的请求。我的Apache httpd.conf看起来像这样: <VirtualHost 1.2.3.4:80> ServerName foo.com ProxyPass / https://bar.com/ </VirtualHost> 因此,当我访问http://foo.com时,我希望apache向https://bar.com发出请求,并将其获取的页面发送给我。 相反,我得到一个500错误,并且在错误日志中,我看到: [error] proxy: HTTPS: failed to enable ssl support for 4.3.2.1:443 (bar.com) 大概我在这里缺少指令。可能是哪个? 不用担心安全隐患。我完全了解风险。
7
删除“ www”并使用nginx重定向到“ https”
我想在nginx中创建一个做两件事的规则: 删除“ www”。从请求URI 如果请求URI为“ http”,则重定向到“ https” 有很多示例说明了如何分别执行这些操作,但我想不出一个可以同时正确完成这两个问题的解决方案(即,不会创建重定向循环并正确处理所有情况)。 它需要处理所有这些情况: 1. http://www.example.com/path 2. https://www.example.com/path 3. http://example.com/path 4. https://example.com/path 这些都应该以https://example.com/path(#4)结尾而不循环。有任何想法吗?
57 nginx  ssl  https  rewrite 
3
如何修复Apache(httpd)中的'logjam'漏洞
最近,已经发布了Diffie-Hellman中的一个新漏洞,非正式地称为“ logjam”,为此页面已汇总在一起,建议如何应对该漏洞: 对于正确部署TLS的Diffie-Hellman,我们有三点建议: 禁用导出密码套件。即使现代浏览器不再支持导出套件,但FREAK和Logjam攻击仍允许中间人攻击者诱骗浏览器使用导出级加密,然后可以解密TLS连接。出口密码是1990年代政策的残余,该政策阻止了从美国出口强大的密码协议。没有现代客户依赖导出套件,禁用它们几乎没有什么缺点。 部署(临时)椭圆曲线Diffie-Hellman(ECDHE)。椭圆曲线Diffie-Hellman(ECDH)密钥交换避免了所有已知的可行密码分析攻击,现代Web浏览器现在更喜欢ECDHE,而不是原始的有限域Diffie-Hellman。我们用来攻击标准Diffie-Hellman组的离散对数算法不能从预计算中获得那么强的优势,并且各个服务器不需要生成唯一的椭圆曲线。 生成一个强大的,独特的Diffie Hellman组。数百万个服务器使用了几个固定组,这使它们成为预计算和潜在窃听的最佳目标。管理员应使用“安全”素数为每个网站或服务器生成唯一的2048位或更高的Diffie-Hellman组。 根据上述建议,应采取哪些最佳实践步骤来保护服务器安全?
2
是否必须在托管SSL证书的服务器上生成CSR?
是否有必要在将托管我的Web应用程序和SSL证书的同一台计算机上生成CSR(证书签名请求)? SSL Shopper上的此页面是这样,但我不确定这是否正确,因为这意味着我必须为群集中的每个服务器购买单独的SSL证书。 什么是企业社会责任?CSR或证书签名请求是在将使用证书的服务器上生成的加密文本块。
3
在远程管理模式下为Windows Server 2012上的RDP配置自定义SSL证书?
因此,Windows Server 2012的发行版删除了许多与远程桌面相关的旧配置实用程序。特别是,没有更多的远程桌面会话主机配置实用程序可让您访问RDP-Tcp属性对话框,该对话框可让您配置供RDSH使用的自定义证书。取而代之的是一个不错的新的统一GUI,它是新服务器管理器中整体“编辑部署属性”工作流的一部分。问题是,只有安装了远程桌面服务角色(据我所知),您才能访问该工作流程。 微软方面似乎有点疏忽。当RDP以默认的远程管理模式运行时,如何在Windows Server 2012上为RDP配置自定义SSL证书,而无需不必要地安装远程桌面服务角色?
6
使用可在Chrome 58中运行的openssl生成自签名证书
从Chrome 58开始,它不再接受依赖于Common Name以下各项的自签名证书:https : //productforums.google.com/forum/#! topic/chrome/zVo3M8CgKzQ;context-place = topicsearchin/chrome/category $ 3ACanary%7Csort:相关性%7Cspell:假 相反,它需要使用Subject Alt Name。之前,我一直在遵循有关如何生成自签名证书的指南:https : //devcenter.heroku.com/articles/ssl-certificate-self,该方法非常有效,因为我需要在执行操作时使用server.crt和server.key文件。现在,我需要生成新的证书,其中包括SAN我所做的所有尝试都不适用于Chrome 58。 这是我所做的: 我按照上述Heroku文章中的步骤生成了密钥。然后,我编写了一个新的OpenSSL配置文件: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany [ san …
9
是否有任何理由不在网站上实施HTTPS?
我经常访问的网站最终决定对服务器启用TLS,但并没有像许多其他网站那样强制要求使用TLS。维护者声称TLS 必须是可选的。为什么? 在我自己的网站上,我长期设置了强制性的TLS和HSTS,并且较弱的密码套件已禁用。保证使用HTTP 301将纯文本访问隔离到受TLS保护的版本。这会对我的网站产生负面影响吗?
49 ssl  hsts 
9
如何在不破坏RDP的情况下禁用TLS 1.0?
我们的信用卡处理器最近通知我们,从2016年6月30日起,我们将需要禁用TLS 1.0才能保持PCI兼容性。我试图通过在Windows Server 2008 R2计算机上禁用TLS 1.0来主动,但发现重新启动后我立即无法完全通过远程桌面协议(RDP)连接到它。经过研究,似乎RDP仅支持TLS 1.0(请参阅此处或此处),或者至少不清楚如何在TLS 1.1或TLS 1.2上启用RDP。有人知道在不破坏RDP的情况下在Windows Server 2008 R2上禁用TLS 1.0的方法吗?Microsoft是否计划通过TLS 1.1或TLS 1.2支持RDP? 注意:似乎有一种方法可以通过将服务器配置为使用RDP安全层来实现,但是这会禁用网络级身份验证,这似乎是一种交易。 更新1:Microsoft现在已解决此问题。请参阅下面的答案以获取相关的服务器更新。 更新2:Microsoft已发布有关SQL Server对PCI DSS 3.1的支持的教程。
7
STARTTLS是否比TLS / SSL安全吗?
在Thunderbird中(我也假设在许多其他客户端中),我可以选择在“ SSL / TLS”和“ STARTTLS”之间进行选择。 据我了解,“ STARTTLS”的简单含义是“如果两端都支持TLS,则加密,否则不加密传输”。“ SSL / TLS”简单地表示“总是加密或根本不连接”。这个对吗? 换句话说: STARTTLS是否比SSL / TLS安全性低,因为它可以在不通知我的情况下退回到纯文本格式?
3
每个子域都需要自己的SSL证书吗?
我正在创建一个将持续存在的websocket服务器ws.mysite.example。我希望Web套接字服务器经过SSL加密以及domain.exampleSSL加密。我需要为创建的每个子域购买新证书吗?我创建的每个子域都需要专用的IP地址吗?我可能会有多个子域。 我正在使用在Ubuntu上运行的NGINX和Gunicorn。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.