有没有人做过任何分析(或知道在哪里可以find一些!)互联网用户使用支持SNI(服务器名称指示)SSL / TLS证书的浏览器/操作系统组合的比例是多less? 我知道,例如XP上的IE不支持这个,旧版本的OSX也不支持。 我知道,没有像“典型”用户那样的东西,而且每个站点都有不同的configuration文件,但是我正在寻找某种程度的视图来说明这些configuration这些日常常用来帮助决策过程沿着一点我想要部署一个新的网站。 如果您确实提供了具体数字或分析参考,您是否也可以将date添加到答案中? 只是为了让将来看到这个问题的其他人有一个什么时候这个信息是最新的想法,正如我所期望的那样,随着时间的推移它将会转变。
我有一位安全顾问告诉我,出于安全原因,我们不能使用通配符SSL证书。 要清楚我更喜欢使用单个证书或多域证书(SAN)。 然而,我们需要服务器(plesk)到服务器100的子域名。 根据我的研究,人们不使用通配符的主要原因是以下这些似乎来自于verisign: 安全:如果一个服务器或子域受到威胁,所有的子域可能会被破坏。 pipe理:如果通配符证书需要被撤销,所有的子域将需要一个新的证书。 兼容性:通配符证书可能无法正常工作 旧的服务器 – 客户端configuration。 保护:VeriSign通配符SSL证书不受NetSure延长保修期的保护。 由于私钥,证书和子域名将全部存在于同一台服务器上,因此replace将如同replace这一个证书一样简单,并实现相同数量的用户。 那么有没有另外一个原因不使用通配符证书?
首先,我很抱歉我的英文不好。 我仍然在学习它。 这里是: 当我为每个IP地址托pipe一个网站时,我可以使用“纯粹的”SSL(没有SNI),并且在用户甚至告诉我他想要检索的主机名和path之前进行密钥交换。 密钥交换后,所有数据都可以安全地交换。 也就是说,如果有人正在嗅探networking,就不会泄露任何机密信息*(见脚注)。 另一方面,如果我按照IP地址托pipe多个网站,我可能会使用SNI,因此我的网站访问者需要告诉我目标主机名,然后才能向他提供正确的证书。 在这种情况下,有人嗅探他的networking可以跟踪他正在访问的所有网站域名。 我的假设是否有错误? 如果没有,这不代表隐私问题,假设用户也使用encryption的DNS? 脚注:我也意识到,一个嗅探器可以对IP地址进行反向查找,找出哪些网站被访问过,但是通过networking电缆以明文forms传输的主机名似乎使得对于审查机构而言,基于关键字的域阻塞更容易。
我有一个服务器运行Apache与自我签署的证书(服务器)与颠覆挂钩 它需要一个用户名来签出或从回购更新。 我有一个从回购的结账,我试图更新两个服务器上的cron作业:服务器和客户端。 这两个cron工作都不会出于同样的原因(我有两个几乎相同的设置,但客户端更简单)。 以下是在客户端,只有一个login:根(我知道,请让我嘲笑) 如果你认为重要,他们都是gentoo 错误 Error validating server certificate for 'https://server:443': – The certificate is not issued by a trusted authority. Use the fingerprint to validate the certificate manually! – The certificate hostname does not match. Certificate information: – Hostname: Tom – Valid: from Sun, 01 Feb 2009 03:51:25 GMT until Tue, 01 […]
我面临以下问题:由于当前的负载均衡策略基于客户端IP,所以服务器变得饱和。 一些公司客户端从大型代理服务器访问我们的服务器,所有客户端都显示与我们的负载均衡器相同的IP。 我想我们正在使用一些硬件负载平衡设备(如有必要可以进一步调查)。 我们需要保持会话关联(站点是在ASP中构build的),所以具有相同IP的所有请求都被路由到同一个节点。 由于所有的通信都通过HTTPS,所以没有任何请求数据(如会话Id)可用于作为客户端鉴别器的平衡器。 有没有办法使用除IP以外的其他数据来区分客户端,并且即使从相同的IP到不同的节点,也要路由客户端? 注意:我需要保持平衡器和节点之间的stream量安全(encryption)。
为什么HTTPS获胜? 有谁知道为什么Netscape和Microsoft都selectHTTPS而不是S-HTTP (RFC 2660)的具体原因? 在我看来,S-HTTP更灵活,并且不需要单独的IP或端口来提供正确的证书,因为S-HTTP能够使用主机头。 IP空间是当时的一个问题吗? 我可以看到HTTPS比S-HTTP更多地encryption连接数据的观点,但是如果您可以轻松地知道用户访问哪个网站,那么我看不出多less关键点,因为每个IP只有一个站点时间)和证书通常说什么域。 我的答案: 1994年由Netscape和HTTPS于1993/1994年创build的SSL在1994年左右同时被添加到它。HTTPS的最初目标是将现有协议改进为安全性,而不做任何更改。 S-HTTP直到1999年才出现,并且需要HTTP 1.1,所以到目前为止,HTTPS已经非常稳固,实施S-HTTP没有什么好处。 感谢大家。
我试图设置我的本地Apacheconfiguration,如下所示: http://localhost/应该服务~/ http://development.somedomain.co.nz/应该服务~/sites/development.somedomain.co.nz/ https://development.assldomain.co.nz/应该服务~/sites/development.assldomain.co.nz/ 我只想要允许来自本地networking(192.168.1。*范围)和我自己(127.0.0.1)的连接。 我已经设置我的主机文件: 127.0.0.1 localhost 255.255.255.255 broadcasthost ::1 localhost fe80::1%lo0 localhost 127.0.0.1 development.somedomain.co.nz 127.0.0.1 development.assldomain.co.nz 127.0.0.1 development.anunuseddomain.co.nz 我的Apacheconfiguration如下所示: Listen 80 NameVirtualHost *:80 <VirtualHost development.somedomain.co.nz:80> ServerName development.somedomain.co.nz DocumentRoot "~/sites/development.somedomain.co.nz" DirectoryIndex index.php <Directory ~/sites/development.somedomain.co.nz> Options Indexes FollowSymLinks ExecCGI Includes AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> <VirtualHost localhost:80> DocumentRoot "~/" ServerName localhost […]
我的网站有两个绑定:1000和1443 (端口80/443由另一个网站在同一个IIS实例中使用) 。 端口1000是HTTP , 端口1443是HTTPS 。 我想要做的是使用“htt p:// server:1000”redirect任何传入的请求到"https://server:1443" 。 我正在玩IIS 7重写模块2.0,但我正在撞墙。 任何见解都被赞赏! 顺便说一句,下面的重写configuration适用于在端口80上具有HTTP绑定和在端口443上具有HTTPS绑定的站点,但它不适用于我的端口。 PS我的url故意有空格,因为“垃圾邮件防范机制”踢了进来。由于某种原因谷歌login不再工作了,所以我不得不创build一个OpenID帐户(没有脚本可能是罪魁祸首)。 我不知道如何让XML很好的显示,所以我在开头的括号后面加了空格。 < ?xml version="1.0" encoding="utf-8"?> < configuration> < system.webServer> < rewrite> < rules> < rule name="HTTP to HTTPS redirect" stopProcessing="true"> < match url="(.*)" /> < conditions trackAllCaptures="true"> < add input="{HTTPS}" pattern="off" /> < /conditions> < action type="Redirect" redirectType="Found" url="htt […]
我想强制执行HSTS只有1个子域,但不是整个域,这是可能的吗? xxx.yyy.com -> HSTS on zzz.yyy.com -> HSTS off yyy.com -> HSTS off
我正在尝试决定是否将SSL用于Web应用程序。 它不处理信用卡或财务数据,但它存储的信息应该是私人/社会的原因。 也有通常的用户注册和loginfunction,可能应该保护。 我知道SSL会有一些性能下降,因为服务器和客户端都有encryption和解密。 另外,据我所知,encryption的数据不会压缩太多,所以Apache的mod_deflate可能不会工作。 performance可能有多大? 我打算做一些testing,但是我会对任何基于经验的评论感兴趣。