Questions tagged «stunnel»

使用通道作为HTTPS反向代理时，如何缓解POODLE SSL漏洞？

15 ssl  openssl  stunnel 

我们有一个连接到MySQL服务器的PHP应用程序，并且希望保护Web和应用程序服务器与数据库之间的连接安全。 在高峰时间，Web服务器会与数据库建立数百个并发连接，并执行许多小的读写操作。我知道这不是最佳选择，并且正在努力与此并行地减少数据库连接的数量。 我们目前没有打开与数据库的持久连接，尽管我们打算将来我想独立于此实现。 从硬件角度来看-MySQL服务器和Web服务器一样都相当庞大（16核）。它们是专用服务器。 然后，我的问题围绕保护和加密与数据库服务器的连接的最有效方式。 到目前为止，我的研究表明，主要的性能开销是建立SSL连接-一旦连接了SSL，几乎不会降低性能。这是关于确保连接安全的每种方法的内容： MySQL SSL证书-与普通SSL一样工作。可以使用客户端证书来防止未经授权的连接。与我们现有的设置没有持久的联系。仍然必须让MySQL在防火墙的开放端口上侦听。 漏斗。设置端口到端口ssl隧道。不必重新配置MySQL。可以关闭普通的MySQL侦听端口，以防止恶意的MySQL连接尝试。不支持持久连接。性能未知。 SSH隧道。在客户端和服务器之间创建SSH隧道。不必重新配置MySQL。可以关闭普通的MySQL侦听端口，以防止恶意的MySQL连接尝试。支持持久连接，但是有时会丢失。性能未知。 就我所能达到的程度。我知道基准测试的局限性-以运行基准测试的经验，很难模拟现实世界的流量。我希望有人根据自己保护MySQL的经验提供一些建议？ 谢谢

15 mysql  ssl  ssh-tunnel  stunnel 

少数计算机（但不是大多数）正在拒绝我的网络服务器的SSL证书。问题似乎是某些计算机拒绝了CA证书。未完全更新时，问题似乎在Mac OS X 10.6上显现。 根据http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com的介绍 -没问题。 根据http://certlogik.com/sslchecker/，没有中间证书被发送出去。 我的证书来自Starfield Technologies，我在sf_bundle.crt这里使用：certs.godaddy.com/anonymous/repository.seam 我正在通过stunnel在服务器上处理SSL，内容如下stunnel.conf： cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 有什么想法我可能做错了吗？

13 ssl  ssl-certificate  stunnel 

我试图使我的传出和传入流量看起来尽可能接近SSL流量合法。有没有办法对我自己的流量进行DPI，以确保它看起来像SSL流量而不是OpenVPN流量？根据我的配置设置，所有流量都使用端口443（SSL端口）吗？ 我的配置如下： 笔记本电脑上的STUNNEL： [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to connect = REMOTE_SERVER_IP:443 笔记本电脑上的OPENVPN CONFIG： client dev tun proto tcp remote 127.0.0.1 1194 resolv-retry infinite …

13 linux  vpn  openvpn  stunnel 

我想将tunnel放在haproxy 1.4之前，以处理HTTPS流量。我还需要一个隧道来添加X-Forwarded-For标头。这可以通过 haproxy网站上的“ stunnel-4.xx-xforwarded-for.diff” 补丁来实现。 但是，描述中提到： 请注意，此修补程序不适用于keep-alive，... 我的问题是：这对我实际上意味着什么？我不确定 如果这是关于之间的保持活跃 客户和隧道 刺儿和haproxy 或haproxy和后端服务器？ 这对性能意味着什么：如果我在一个网页上有100个图标，浏览器是否必须协商100个完整的SSL连接，还是可以仅创建新的TCP连接就重新使用SSL连接？

10 ssl  https  tcp  haproxy  stunnel 

我正在stunnelWindows XP上设置服务器，当客户端尝试访问时出现此错误： 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 00:02:16 LOG7[8848:9792]: …

9 windows  ssl  https  stunnel 

警告： SSLv3已过时。考虑完全禁用它。 我正在尝试将Stunnel设置为服务器作为SSL缓存。一切都很顺利，并且大多数情况下都按设计工作。 然后我在日志文件中遇到错误： SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 由于某些奇怪的原因，并非所有客户都会触发该事件。使用链接从CentOS连接-显示错误（尝试多台计算机）。使用链接从Ubuntu连接-没有错误。 使用wget进行了尝试，并且使用TLSv1都可以顺利进行，但是使用SSLv3时会出现错误。同时，wget报告： OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 无法建立SSL连接。 这是我的配置： pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 xforwardedfor=yes CAfile = /path/to/ssl/example.com.cabundle cert=/path/to/ssl/example.com.crt key=/path/to/ssl/example.com.key …

9 ssl  ssl-certificate  openssl  stunnel