Questions tagged «ssl»

这是我的缩写nginx vhost conf： upstream gunicorn { server 127.0.0.1:8080 fail_timeout=0; } server { listen 80; listen 443 ssl; server_name domain.com ~^.+\.domain\.com$; location / { try_files $uri @proxy; } location @proxy { proxy_pass_header Server; proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_connect_timeout …

16 nginx  ssl  https 

通常我根本不使用Internet Explorer。我仅在设计时进行接口测试（开发机器和未加密的http）使用它。每周我都会运行SSL Labs服务器测试，其中说IE11能够访问我的网站。 今天，我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox，因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面，女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样，例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题（就像普通浏览器一样）。 几个月前就出现了这个schannel问题，该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起，我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作，并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。 现在是真正的问题：为什么在IE中启用TLS 1.2时，为什么Internet Explorer 11无法连接到我的HTTPS站点？以及如何在服务器端修复它？SSL Labs告诉我，我的网站上一切正常。 重要编辑：启用TLS1.2后，似乎IE11只能处理非前缀域，而不能处理前缀域。不带前缀（www）的域有效，而带前缀（www）的域不起作用。 在服务器端，我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e 可用的密码有： ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15 nginx  ssl  openssl  internet-explorer  tls 

使用通道作为HTTPS反向代理时，如何缓解POODLE SSL漏洞？

15 ssl  openssl  stunnel 

我可以通过Amazon CloudFront托管动态网站，因为它们具有CNAME通配符支持。但是，我的网站的某些页面使用HTTPS。亚马逊有一些有关如何将您的SSL证书与CloudFront发行版关联的文档，但价格显示它每月花费600美元，对我来说太高了。 我的问题是...是否可以配置CloudFront以便从CloudFront提供HTTP请求，但HTTPFront请求被CloudFront忽略并直接传递到源（在我的情况下，是一个Elastic Load Balancer，可以免费解密SSL） ？

15 ssl  https  amazon-elb  amazon-cloudfront 

创建自签名SSL证书后，我已经配置了远程MySQL服务器以使用它们（并且启用了SSL） 我使用SSH进入远程服务器，然后尝试使用SSL（MySQL服务器为5.5.25）连接到它自己的mysqld。 mysql -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter password: ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1) 好的，我记得阅读过通过SSL连接到同一服务器存在一些问题。所以我将客户端密钥下载到我的本地框中，然后从那里进行测试... mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter password: ERROR 2026 (HY000): SSL connection error 目前尚不清楚此“ SSL连接错误”错误指的是什么，但是如果省略-ssl-ca，则可以使用SSL进行连接。 mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key Enter …

15 mysql  ssl  ssl-certificate  mysql5  mysql5.5 

我在SSL证书供应商（RapidSSL，FWIW）处使用了“重新颁发证书”功能来获取新证书-为此，我创建并使用了新的私钥和密码。 重新颁发此证书是否会使先前签发的证书失效？如果是这样，需要多长时间？

15 ssl  certificate  revoked 

我正在尝试使用nginx通过https连接设置ssh。我还没有找到任何可行的示例，因此将不胜感激！ ~$ cat .ssh/config Host example.net Hostname example.net ProtocolKeepAlives 30 DynamicForward 8118 ProxyCommand /usr/bin/proxytunnel -p ssh.example.net:443 -d localhost:22 -E -v -H "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" ~$ ssh user@example.net Local proxy ssh.example.net resolves to 115.xxx.xxx.xxx Connected to ssh.example.net:443 (local proxy) Tunneling to localhost:22 (destination) Communication with local proxy: -> …

15 ssh  nginx  ssl  proxy  http-proxy 

我有一个小型私人Web服务器，其中有多个虚拟主机。我知道不可能为每个单独的虚拟主机分配证书，因为只有在建立SSL连接之后，服务器才能发现请求了哪个虚拟主机。但是是否可以有一个列出多个域的SSL证书？或至少一个通配符域，例如* .example.com。如果是，我必须写什么Linux命令来制作这样的自签名证书？ 补充：为了澄清-我所有虚拟主机只有一个IP地址。

15 apache-2.2  ssl  virtualhost  certificate 

尝试运行任何rpm命令时，出现以下错误。我不确定为什么会出现卷曲错误，但是我尝试了许多不同的选择，但都失败了。 运行CentOS7并在代理后面 [root@CentOS7]# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm Retrieving https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't …

15 ssl  centos7  rpm  curl 

我意识到这看起来至少是其他一些问题的重复，但是我已经阅读了几次，但仍在做错事。 以下是位于myexample.com nginx配置文件中的内容/etc/nginx/sites-available。 server { listen 443 ssl; listen [::]:443 ssl; server_name myexample.com www.myexample.com; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ssl_certificate /etc/letsencrypt/live/myexample.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myexample.com/privkey.pem; #Configures the publicly served root directory #Configures the index file to be served root /var/www/myexample.com; index index.html index.htm; } 它有效，当我转到https://myexample.com时，将提供内容并且连接是安全的。因此，此配置似乎很好。 现在，如果我将ssl端口更改为9443并重新加载nginx配置，则该配置将重新加载而没有错误，但是访问https://myexample.com时浏览器将显示错误（无法访问该网站/ myexample.com拒绝了连接。ERR_CONNECTION_REFUSED） 我在这里，这里和这里（以及其他地方）尝试过建议和文档，但是我总是收到ERR_CONNECTION_REFUSED错误。 我应该注意，我可以使用非标准端口，然后在URL中明确键入该端口，例如https://myexample.com:9443。但是我不想那样做。我想要的是用户能够在任何浏览器中键入myexample.com并使nginx自动重定向到安全连接。 同样，使用标准443 SSL端口时，我也没有任何问题。 编辑：我在debian / …

15 nginx  ssl 

我们有一个连接到MySQL服务器的PHP应用程序，并且希望保护Web和应用程序服务器与数据库之间的连接安全。 在高峰时间，Web服务器会与数据库建立数百个并发连接，并执行许多小的读写操作。我知道这不是最佳选择，并且正在努力与此并行地减少数据库连接的数量。 我们目前没有打开与数据库的持久连接，尽管我们打算将来我想独立于此实现。 从硬件角度来看-MySQL服务器和Web服务器一样都相当庞大（16核）。它们是专用服务器。 然后，我的问题围绕保护和加密与数据库服务器的连接的最有效方式。 到目前为止，我的研究表明，主要的性能开销是建立SSL连接-一旦连接了SSL，几乎不会降低性能。这是关于确保连接安全的每种方法的内容： MySQL SSL证书-与普通SSL一样工作。可以使用客户端证书来防止未经授权的连接。与我们现有的设置没有持久的联系。仍然必须让MySQL在防火墙的开放端口上侦听。 漏斗。设置端口到端口ssl隧道。不必重新配置MySQL。可以关闭普通的MySQL侦听端口，以防止恶意的MySQL连接尝试。不支持持久连接。性能未知。 SSH隧道。在客户端和服务器之间创建SSH隧道。不必重新配置MySQL。可以关闭普通的MySQL侦听端口，以防止恶意的MySQL连接尝试。支持持久连接，但是有时会丢失。性能未知。 就我所能达到的程度。我知道基准测试的局限性-以运行基准测试的经验，很难模拟现实世界的流量。我希望有人根据自己保护MySQL的经验提供一些建议？ 谢谢

15 mysql  ssl  ssh-tunnel  stunnel 

我为DROWN攻击修补了Postfix + Dovecot服务器（我禁用了sslv2和sslv3）。 https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... 之后，如果我的命令行连接的OpenSSL的s_client使用-ssl2开关那么协议不被支持。我可以认为这是他们的扫描仪未检测到的吗？

14 security  ssl 

我们目前正在对位于300台服务器上的网域（例如example.com）使用标准SSL证书。当有人请求时https://example.com，其中一台服务器为请求服务。 现在，我们希望将SSL证书从标准升级到可以保护多个子域的证书。我们的注册商GoDaddy通知我们，我们将需要取消当前证书，而将签发新证书。 现在，一旦向我们发布了新的旧服务器，我们将花费大约10天的时间更换300台服务器上的旧服务器。在那10天内，如果我们的用户请求https://example.com并且仍然具有旧证书的服务器为该请求提供服务，那么用户浏览器将显示什么？ 用户会看到无效的证书错误吗？ 注意：只是为了消除所有抵制，更新300台服务器需要10天的时间是因为我的服务器部署在私人巴士，火车和飞机上，并且它们通过离线热点进行服务。他们可能会在不连接互联网的情况下处理数个请求。因此，按照我们的上次更新速度，我将花费大约10天的时间来更新所有这些文件。

14 ssl  ssl-certificate 

运行Exchange 2007和IIS6.0的SBS 2008 CompanyA还有另外两家在同一屋顶下运营的公司。为了容纳电子邮件，我们每个用户有3个Exchange帐户来管理此帐户。所有用户都使用其CompanyA帐户登录域。 CORP \用户user@companyA.com CORP \ user-companyb user@companyB.com <-仅用于电子邮件 CORP \ user-companyc user@companyC.com <-仅用于电子邮件 电子邮件在内部可以通过OWA正常运行。为需要访问companyB和companyC电子邮件的远程用户设置Outlook时，会出现此问题，Outlook会弹出证书错误。 SSL cert SAN具有以下DNS名称： webmail.companyA.com www.webmail.companyA.com 公司SBS CORP-SBS.local autdiscover.companyA.com 远程访问companyC电子邮件地址的用户告诉我，这以前从未发生过。这始于首席执行官自己更改了DNS提供程序，在此过程中原始DNS设置丢失了。他提到了有关正在创建的SRV记录的信息，该记录纠正了此问题，仅此而已。 寻找有关如何正确解决此问题的指南。

14 ssl  exchange  outlook  certificate 

我在其中一台服务器上编译了OpenSSH_6.6p1。我可以通过SSH登录到升级后的服务器。但是我无法由此连接到其他运行OpenSSH_6.6p1或OpenSSH_5.8的服务器。连接时出现以下错误。 Read from socket failed: Connection reset by peer 在日志中的目标服务器上，我看到了以下内容。 sshd: fatal: Read from socket failed: Connection reset by peer [preauth] 我试图指定cipher_spec [SSH -c AES128-CTR目的地服务器]中提到这里，并能连接。默认情况下如何配置ssh以使用密码？为什么在这里需要密码？

14 linux  ssh  ssl