Questions tagged «tls»

SSL及其后续版本TLS是加密和身份验证协议,可以对TCP连接的全部内容进行加密,并可以验证建立连接的设备的身份。


3
如何检查远程SMTP服务器的TLS证书?
我们有一个在Windows Server 2008上运行的Exchange 2007服务器。我们的客户端使用其他供应商的邮件服务器。他们的安全政策要求我们使用强制TLS。直到最近,这一切都很好。 现在,当Exchange尝试将邮件传递到客户端的服务器时,它将记录以下内容: 无法建立连接器“默认外部邮件”上域安全的域“ ourclient.com”的安全连接,因为对ourclient.com的传输层安全性(TLS)证书的验证失败,状态为“ UntrustedRoot”。请与ourclient.com的管理员联系以解决该问题,或从受保护的域列表中删除该域。 从TLSSendDomainSecureList中删除ourclient.com会导致使用机会性TLS成功发送邮件,但这只是暂时的解决方法。 客户是一家规模庞大,对安全敏感的国际公司。我们的IT联系人声称没有意识到其TLS证书的任何更改。我已多次要求他确定生成证书的授权,以便我可以对验证错误进行故障排除,但到目前为止,他一直无法提供答案。据我所知,我们的客户可以用内部证书颁发机构的证书替换其有效的TLS证书。 有谁知道一种手动检查远程SMTP服务器的TLS证书的方法,就像在Web浏览器中处理远程HTTPS服务器的证书一样?确定谁颁发了证书并将该信息与我们的Exchange服务器上的受信任根证书列表进行比较可能非常有帮助。

9
如何在不破坏RDP的情况下禁用TLS 1.0?
我们的信用卡处理器最近通知我们,从2016年6月30日起,我们将需要禁用TLS 1.0才能保持PCI兼容性。我试图通过在Windows Server 2008 R2计算机上禁用TLS 1.0来主动,但发现重新启动后我立即无法完全通过远程桌面协议(RDP)连接到它。经过研究,似乎RDP仅支持TLS 1.0(请参阅此处或此处),或者至少不清楚如何在TLS 1.1或TLS 1.2上启用RDP。有人知道在不破坏RDP的情况下在Windows Server 2008 R2上禁用TLS 1.0的方法吗?Microsoft是否计划通过TLS 1.1或TLS 1.2支持RDP? 注意:似乎有一种方法可以通过将服务器配置为使用RDP安全层来实现,但是这会禁用网络级身份验证,这似乎是一种交易。 更新1:Microsoft现在已解决此问题。请参阅下面的答案以获取相关的服务器更新。 更新2:Microsoft已发布有关SQL Server对PCI DSS 3.1的支持的教程。



7
强制对SMTP进行加密是个好主意吗?
我正在运行一个电子邮件服务器,当前已设置为在发送和接收电子邮件时尽可能使用TLS。 当您阅读有关此文档的文档时,还可以选择强制执行TLS而不接受电子邮件的纯文本传输。它还警告您某些邮件服务器可能尚不支持加密,并且强制加密可能会阻止这些服务器。 但是,这仍然是人们应该考虑的问题吗?或者可以肯定地说,加密不再是问题吗? 可能已经有一些大型提供商已经在执行此操作,或者您最近如何看待最佳实践?
36 encryption  tls  smtps 

5
SSL和TLS差异的功能含义
我知道TLS本质上是SSL的较新版本,并且它通常支持将连接从不安全状态转换为安全状态(通常通过STARTTLS命令)。 我不明白的是,TLS为什么对IT专业人员很重要,为什么给我一个选择,我却会选择另一个。TLS真的只是一个较新的版本吗?如果可以,那么它是兼容的协议吗? 作为IT专业人员:我什么时候使用哪个?什么时候不使用哪个?
31 security  ssl  tls 

1
SMTP上的Postfix TLS-RCPT TO提示重新协商,然后554 5.5.1错误:没有有效的收件人
我已经在我的Debian 6服务器上设置了ispconfig3,这是对ssl的一点smtp: 服务器是后缀 AUTH PLAIN (LOL!) 235 2.7.0 Authentication successful MAIL FROM: lol@lol.com 250 2.1.0 Ok RCPT TO: lol@lol.com RENEGOTIATING depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify error:num=18:self signed certificate verify return:1 depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify return:1 DATA 554 5.5.1 Error: no valid recipients 但是,问题是,如果我只是在端口25上进行普通远程登录,那么我可以像疯子一样进行身份验证并发送邮件...希望这是足够的信息!(与“ …
28 debian  ssl  postfix  smtp  tls 

4
tls握手失败。不包含任何IP SAN
我正在尝试设置logstash转发器,但是在建立适当的安全通道时遇到了问题。尝试使用在virtualbox中运行的两台ubuntu(服务器14.04)计算机进行配置。它们是100%干净的(用于logstash的主机文件不受影响或未安装任何其他软件包,除了必需的Java,ngix,elastisearch等) 我不认为这是logstash问题,但证书的处理不当或在logstash ubuntu或转发器计算机上未正确设置的问题。 我生成了密钥: sudo openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt 我在logstash服务器上的输入conf: input { lumberjack { port => 5000 type => "logs" ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt" ssl_key => "/etc/pki/tls/private/logstash-forwarder.key" } } 密钥已复制到具有以下配置的转发器主机。 { "network": { "servers": [ "192.168.2.107:5000" ], "timeout": 15, "ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt" "ssl key": …

4
如何在IIS 7.5中启用TLS 1.1、1.2
我们希望支持使用TLS 1.1和1.2的Web浏览器,这显然已由Microsoft实现,但默认情况下已关闭。 因此,我在Google上进行搜索,发现每个人似乎都在关注一些页面: http://support.microsoft.com/kb/245030 https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html 然而!它似乎不适用于我。我已经为DisabledByDefault和TLS 1.1和1.2设置了DWORD值。我可以确认我的客户端正在尝试与TLS 1.2通信,但服务器仅以1.0响应。我已经重新启动IIS,但是并没有改变情况。 Microsoft指出:“警告:协议项下注册表项中的DisabledByDefault值不优先于SCHANNEL_CRED结构中定义的grbitEnabledProtocols值,该结构包含Schannel凭据的数据。” 好吧,这对我来说很模糊。我找不到在任何地方定义或设置SCHANNEL_CRED的地方,我可以确定这是Microsoft库中定义的结构。这是我为什么无法解决问题的唯一猜测,但是我找不到足够的信息来确定这是否是真正的问题。

3
https流量对Web缓存代理服务器有什么影响?
我刚刚参加了两门大学的计算机安全和互联网编程课程。前几天我在想这个: Web缓存代理服务器从Web上的服务器缓存流行的内容。例如,如果您的公司内部具有1 Gbps的网络连接(包括Web缓存代理服务器),而与Internet的连接只有100 Mbps,则此功能很有用。Web缓存代理服务器可以更快地将缓存的内容提供给本地网络上的其他计算机。 现在考虑使用TLS加密的连接。可以以任何有用的方式缓存加密内容吗?letsencrypt.org提出了一项伟大的计划,旨在默认情况下通过SSL对所有互联网流量进行加密。他们通过使其变得非常容易,自动化和免费获取站点的SSL证书(自2015年夏季开始)来做到这一点。考虑到当前SSL证书的年度费用,免费确实很有吸引力。 我的问题是:HTTPS流量最终将使Web缓存代理服务器过时吗?如果是这样,这将对全球互联网流量造成怎样的损失?
25 proxy  https  cache  tls 

1
如何让nginx记录使用的SSL / TLS协议和密码套件?
我的目标是为连接到我的nginx的客户端确保适当的安全性。我正在遵循Mozilla的指南来在我的nginx安装上正确配置TLS,但是我没有概述实际使用的实际协议/密码套件。 我现在所拥有的: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } 这样,我想记录使用哪种SSL协议进行连接以及在客户端/服务器协商后选择了哪种密码套件。例如: 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" 至 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …
24 nginx  security  logging  tls  ssl 

3
在NGINX中禁用TLS 1.0
我有NGINX充当我们网站的反向代理,并且运行良好。对于需要ssl的网站,我关注了raymii.org以确保获得尽可能高的SSLLabs评分。其中一个站点需要符合PCI DSS的要求,但是基于最新的TrustWave扫描现在由于启用了TLS 1.0而失败。 在nginx.conf中的http级别上,我有: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 对于特定的服务器,我有: ssl_protocols TLSv1.1 TLSv1.2; 我更改了密码,将内容从http级别移到了每个ssl站点服务器,但是无论何时运行: openssl s_client -connect www.example.com:443 -tls1 我获得了TLS 1.0的有效连接。SSLLabs将网站的nginx设置作为A放置,但使用TLS 1.0,因此我相信其余设置是正确的,只是不会关闭TLS 1.0。 对我可能会想念的东西有什么想法? openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0
22 nginx  tls  pci-dss 

2
使用TLS配置OpenLDAP =必需
如今,OpenLDAP的需要与的ldapmodify CN =配置来配置,如描述在这里。但无处可寻,您如何配置它以仅接受TLS流量。我刚刚确认我们的服务器接受未加密的流量(使用ldapsearch和tcpdump)。 通常,我只用IP表关闭非SSL端口,但是显然不赞成使用SSL端口,因此我没有那个选择。 因此,使用SSL配置命令,如下所示: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem 是否有强制使用TLS的参数? 编辑:我尝试了olcTLSCipherSuite,但是它不起作用。调试输出: TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. Edit2(几乎固定):我可以通过加载来修复它: …
16 ldap  openldap  tls 

5
是否有任何著名的CA颁发椭圆曲线证书?
背景 我已经看到Comodo具有椭圆曲线的根(“ COMODO ECC证书颁发机构”),但是我在其网站上看不到EC证书。 Certicom是否具有阻止其他发行人提供EC证书的知识产权?广泛使用的浏览器是否不支持ECC?ECC是否适合Web服务器身份验证等传统PKI使用?还是没有需求? 由于NSA Suite B的建议,我对切换到椭圆曲线感兴趣。但这对于许多应用程序似乎并不实际。 赏金标准 要申请赏金,答案必须提供指向知名CA网站上一个页面或多个页面的链接,该链接描述了他们提供的ECC证书选项,价格以及购买方式。在这种情况下,“知名”表示默认情况下,Firefox 3.5和IE 8中必须包含适当的根证书。如果提供了多个合格答案(一个可以希望!),则该证书具有来自无处不在的CA的最便宜的证书将赢得赏金。如果那不能消除任何联系(仍然希望!),我将不得不自行决定选择一个答案。 请记住,有人总是要求至少一半的赏金,因此即使您没有所有答案,也请尝试一下。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.