Questions tagged «tls»

通常我根本不使用Internet Explorer。我仅在设计时进行接口测试（开发机器和未加密的http）使用它。每周我都会运行SSL Labs服务器测试，其中说IE11能够访问我的网站。 今天，我发现我的第三方服务之一存在问题。某些特殊功能不适用于Chrome或Firefox，因此我在Windows 7计算机上启动了IE11。IE11告诉我一个内置的错误页面，女巫基本上只说“页面无法显示”。与典型的虚拟bla bla一样，例如检查DNS等。在整个错误页面上绝对没有迹象表明存在与加密相关的问题（就像普通浏览器一样）。 几个月前就出现了这个schannel问题，该问题阻止了启用TLS1.2的IE访问HTTPS站点。从那时起，我的“ IE的WTF检查表”包含“禁用TLS1.2”作为检查点。我该怎么说... 在IE中禁用TLS1.2可以正常工作，并且我的站点可以再次使用。但是我无法在访问者浏览器上执行此操作。 现在是真正的问题：为什么在IE中启用TLS 1.2时，为什么Internet Explorer 11无法连接到我的HTTPS站点？以及如何在服务器端修复它？SSL Labs告诉我，我的网站上一切正常。 重要编辑：启用TLS1.2后，似乎IE11只能处理非前缀域，而不能处理前缀域。不带前缀（www）的域有效，而带前缀（www）的域不起作用。 在服务器端，我正在使用debian / 7 nginx / 1.7.8 openssl / 1.0.1e 可用的密码有： ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15 nginx  ssl  openssl  internet-explorer  tls 

我有一个奇怪的问题。将我的LAMP开发机（Debian）更新为PHP7。之后，我无法再通过Curl连接到特定的TLS加密API。 有问题的SSL证书由thawte签名。 curl https://example.com 给我 curl: (60) SSL certificate problem: unable to get local issuer certificate 而 curl https://thawte.com 当然，这也是Thawte作品签名的。 我可以在其他计算机上通过HTTPS访问API站点，例如通过curl和浏览器在我的桌面上。因此该证书绝对有效。SSL Labs评级为A。 从我的开发机到其他SSL加密站点的任何其他Curl请求都可以工作。我的根证书是最新的。为了验证，我跑了update-ca-certificates。我什至将http://curl.haxx.se/ca/cacert.pem下载到/ etc / ssl / certs并运行c_rehash。 还是一样的错误。 有什么方法可以调试验证过程并查看正在寻找但找不到的本地颁发者证书curl（或openssl），即文件名？ 更新 curl -vs https://example.com 告诉我（IP +域名已匿名） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * Connected to …

14 ssl  ssl-certificate  openssl  tls  curl 

我了解了针对TLS压缩的CRIME攻击（CVE-2012-4929，CRIME是针对ssl＆tls的BEAST攻击的继承者），并且我想通过禁用SSL压缩来保护我的Web服务器免受此攻击，该SSL压缩已添加到Apache 2.2.22（请参见Bug 53219）。 我正在运行httpd-2.2.15附带的Scientific Linux 6.3。httpd 2.2上游版本的安全修补程序应反向移植到该版本。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 我在配置中尝试关闭SSLCompression，但是导致出现以下错误消息： # /etc/init.d/httpd restart Stopping httpd: [ OK …

14 apache-2.2  security  tls  mod-ssl 

TLS是SSL的“新”版本吗？它增加了哪些功能，或解决了安全问题？ 任何支持SSL的东西都可以支持TLS吗？进行切换会涉及什么？开关值得吗？ 为什么通过“机会性TLS”和VPN（通常称为SSL VPN）发送电子邮件？技术上是否有所不同，也许会为“ TLS VPN”产品线创造空间？

13 vpn  ssl  ssl-certificate  tls 

我有一台运行Apache 2.2.22和mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。 在我的vhosts配置中（其中所有其他行为均与我期望的一样），我有SSLProtocol一行-all +SSLv3。 使用该配置，启用了TLS 1.1和1.2并可以正常工作-这与我的直觉相反，因为我希望在该配置下仅启用S​​SLv3。 我可以通过启用/禁用TLSv1 -/+TSLv1，它可以按预期工作。但是+/-TLSv1.1，+/-TLSv1.2它们也不是有效的配置选项-所以我不能那样禁用它们。 至于我为什么要这样做-我正在处理一个第三方应用程序（我无法控制），该应用程序在启用TLS的服务器上有一些错误行为，因此我需要完全禁用它以继续前进。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …

12 centos  openldap  openssl  tls 

背景：我唯一能找到的方法是与Windows 2008上的RDP有关，RDP在管理工具中似乎有一个名为“远程桌面会话主机配置”的东西。Windows 2012中不存在此功能，现在似乎也可以通过MMC添加它。我在这里阅读了2008年的内容，使用RDS主机配置，您可以关闭它。 问题： 因此，在Windows 2012中，如何关闭TLS 1.0，但仍能够将RDP转换为Windows 2012服务器？ 最初，我的理解是Win2012 RDP仅支持TLS 1.0。但是，不再允许使用基于PCI的TLS 1.0。根据本文，这应该是针对Windows Server 2008r2修复的。但是，这不能解决Server 2012，后者甚至没有管理GUI设备来更改我所知道的RDP将使用的协议。

12 windows  windows-server-2012  rdp  tls 

问题：由于iOS 9现在使用ATS，因此我们的移动应用程序无法再与我们的Web服务建立安全连接。 背景： iOS 9引入了App Transport Security 服务器设置： Windows Server 2008 R2 SP1（VM）IIS 7.5，来自digicert的SSL证书。Windows防火墙关闭。 密钥RSA 2048位（e 65537） 发行者DigiCert SHA2安全服务器CA 签名算法SHA512withRSA 这些是应用程序传输安全性要求： 服务器必须至少支持传输层安全性（TLS）协议版本1.2。连接密码仅限于提供前向保密性的密码（请参阅下面的密码列表。）证书必须使用SHA256或更好的签名哈希算法进行签名，并使用2048位或更高的RSA密钥或256位或更高的Elliptic-Curve （ECC）键。无效的证书会导致严重故障并且无法连接。这些是公认的密码： TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 已经尝试了什么： 在移动应用程序中添加例外以允许我们的域工作，但是我不想使用这种不安全的方法，我想修复我们的SSL。 使用IIS Crypto来使用“最佳实践”，尝试过“ pci”和自定义设置。甚至尝试将加密套件修改为上面的列表，然后重新排序。每次尝试后，服务器将重新启动，并且SSL Labs已运行（清除缓存后）。我成功地从F等级升级到A甚至A-，但这仅导致iOS 8和9无法建立安全连接。（NSURLErrorDomain代码= -1200和_kCFStreamErrorCodeKey = -9806） 恢复了VM，并尝试了Powershell脚本为SSL完美的IIS和TLS 1.2设置了IIS我什至进行了第二次尝试，在该过程中，我将Power脚本中的密码加密为所需内容的最小清单。 结果：始终相似，等级为A或A-。iOS8和iOS9无法协商安全连接。握手模拟会导致Safari和iOS产品出现“协议或密码套件不匹配”的情况。 更新在获得Apple支持之后，我们进行了一些数据包跟踪捕获： $ tcpdump …

11 ssl  iis-7.5  tls  ios  safari 

我有一个在RHEL4上运行Apache 2.0的Web服务器。该服务器最近无法通过PCI扫描。 原因：SSLv3.0 / TLSv1.0协议弱的CBC模式漏洞解决方案：此攻击在2004年和TLS协议的更高版本中被发现，其中对此问题进行了修复。如果可能，请升级到TLSv1.1或TLSv1.2。如果无法升级到TLSv1.1或TLSv1.2，则禁用CBC模式密码将消除此漏洞。在Apache中使用以下SSL配置可以缓解此漏洞：SSLCipherSuite RC4-SHA：HIGH：！ADH上的SSLHonorCipherOrder 我想简单的解决。我将这些行添加到了Apache配置中，但是没有用。显然， “ SSLHonorCipherOrder On”仅适用于Apache 2.2及更高版本。我尝试升级Apache，不久就遇到了依赖地狱，看来我必须升级整个操作系统才能升级到Apache 2.2。我们将在几个月后淘汰此服务器，因此不值得。 该解决方案说：“如果无法升级到TLSv1.1或TLSv1.2，则禁用CBC模式密码将消除此漏洞。” 我将如何在Apache 2.0上执行此操作？这有可能吗？如果没有，还有其他解决方法吗？

11 apache-2.2  ssl  tls 

我已经在https://de.ssl-tools.net/mailservers上对我们的后缀服务器进行了安全检查，并得到警告，表明仍支持“ ECDHE_RSA_WITH_RC4_128_SHA”。但是不知道如何禁用它...

11 postfix  tls 

当我设置cronjob来每30天更新一次LetsEncrypt证书时，是否可以设置Public-Key-Pins？ 如果证书被更新，那么公钥也被更新，对吗？

10 ssl  ssl-certificate  tls  http-headers  public-key 

我尝试按照https://help.ubuntu.com/lts/serverguide/openldap-server.html实施TLS， 当我尝试使用此ldif文件修改cn = config数据库时： dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/test-ldap-server_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/test-ldap-server_key.pem 我收到以下错误： ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (e.g., implementation specific) error (80) 我究竟做错了什么？ 编辑：当我尝试使用简单身份验证时，出现以下错误： ldapmodify …

10 openldap  tls 

我们的业务合作伙伴之一要求我们使用TLS SHA256证书连接到他们的API。我不确定如何生成这些请求。我过去曾使用openssl创建这些请求，但它使用SHa1生成了SSL证书。我可以使用openssl生成此请求吗？如果没有，我该如何生成他们的要求？ 我不是该领域的专家，所以我什至不知道我的要求是否有意义。

10 tls  openssl 

我运行的MTA包括标准的Postfix，SpamAssassin，ClamAV，SPF / DKIM检查等。此MTA仅用于入站电子邮件，不托管任何帐户，并且将通过检查的邮件转发给共享的Web主机。 我知道，当尝试将邮件传递到我的服务器时，一些电子邮件服务开始在纯文本之前尝试TLS连接。 我意识到并不是所有的服务都支持TLS，但是我想知道它的普及程度如何，这样我才能满足大脑的OCD安全性要求（是的，我知道SSL并不像我们曾经认为的那样安全。 ...）。 该后缀的文档的smtpd_tls_security_level规定，RFC 2487规定所有的公开引用（即MX）邮件服务器不强迫TLS： 根据RFC 2487，在公开引用的SMTP服务器的情况下，不得使用此方法。因此，此选项默认为关闭。 因此：文档（或与此相关的15年历史的RFC）的适用性/相关性如何？我是否可以在不锁定全球一半ISP的情况下安全地在所有入站SMTP连接上强制使用TLS？

10 security  email  postfix  tls 

使用mod_ssl时是否可以禁用Apache 2.2.x中的SSL / TLS压缩？ 如果不是，人们在做什么以减轻旧浏览器中的CRIME / BEAST的影响？ 相关链接： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/zh_CN/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl