在通过https提供页面时,是否有可能通过廉价的安全证书来限制网站的性能? 背景:我使用Drupal 7和Drupal Commercebuild立了一个电子商务网站。 该网站运行在一个m3.xlarge的Amazon EC2实例上,并且一切都在上周末一直非常快速有效地运行。 上周末,交通量在正常水平(银行假期周末)出现大幅上涨,在该网站上共有50个并发用户。 非安全页面执行得很快,但是当用户从一个http页面(例如篮子页面)转到一个安全的https页面(checkout页面)时,网站变得非常缓慢并且在一些情况下崩溃。 作为一项testing,将交换机切换到https维护站点的性能,并将其恢复运行。 问题: 便宜的SSL证书可以在这个问题上牵手吗? 根据购买的证书types,速度是否有优势? 这听起来像它可能是一个Apacheconfiguration错误?
任何想法如何得到这个不失败? # yum update Freeing read locks for locker 0x82: 4189/140342084876032 Freeing read locks for locker 0x84: 4189/140342084876032 Freeing read locks for locker 0x85: 4189/140342084876032 Freeing read locks for locker 0x86: 4189/140342084876032 Freeing read locks for locker 0x87: 4189/140342084876032 Freeing read locks for locker 0x9a: 4189/140342084876032 Freeing read locks for locker 0x9c: 4189/140342084876032 Freeing read […]
我将Wheezy服务器升级到Jessie,并且Apache 2.4停止工作。 特别是在443端口没有ssl …. telnet myhost 443 GET https://myhost <html><meta http-equiv='Content-Type' content='text/html; charset=utf-8'/><body>Something in /var/www/html/index.html</body></html>>Connection closed by foreign host. 它应该是: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You're speaking plain HTTP to an SSL-enabled server port.<br […]
经过一番研究,我得到了这样的想法:由于当前的CVE-2009-3555缓解工作,除了在服务器上下文中,我无法成功地使用SSLVerifyClient 。 具体而言,由于CVE-2009-3555,各种版本的OpenSSL,Apache / mod_ssl和一些浏览器停止允许SSL重新协商。 因此, SSLVerifyClient require在Directory,Location或.htaccess上下文中导致服务失败(例如, 这些示例中的各个失败)。 自CVE-2009-3555,RFC 5746发布以来,OpenSSL,Apache / mod_ssl等支持哪些新版本。 Q1:这个总结大致正确吗? 我的问题直接与共享虚拟主机。 我无法访问httpd.conf,也无法升级软件。 问题2:如果我find一个运行最近支持RFC 5746 TLS重新协商指示(与GoDaddy不同)的软件的共享networking托pipe公司,我是否可以在.htaccess中取得成功: SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile /path/to/my/ca.crt ca.crt是我的私生子自签名证书吗? mod_ssl文档没有说SSLCACertificateFile可以在.htaccess中,但是当我把它放在那里时,我没有得到典型的“不允许在这里”的错误。
我有一个PKCS#11兼容智能卡与私钥或证书和私钥的组合(我可以有两个)。 我想从智能卡向访问者呈现证书,或者在磁盘上使用常规证书文件,但是使用仅存储在那里的私钥对智能卡上的stream量进行解密。 这似乎应该是可能的,但现有的支持似乎是不存在的(每个人都关注客户证书,这不是我想要的)。 Windows + IIS似乎不支持该选项(仅来自文件的证书)。 Linux + Apache + mod_ssl似乎是最接近的,但却无法识别我的pkcs11引擎。 当应用以下补丁( https://issues.apache.org/bugzilla/show_bug.cgi?id=52473 )时,服务器不再启动(看起来是由于双重locking的错误)。 没有其他的networking服务器似乎支持这一点,至less,没有我能find。 我错了吗? 有没有可以做到这一点的networking服务器? 有人有更好的mod_ssl补丁吗? 我真的很想要这个吗? 请帮忙。
我们真的难住这个。 在升级到在CentOS 6.6上运行的更新的Apache环境时,我们遇到了来自Windows 8机器的TLS连接的奇怪问题。 第一个提示错误的是IE10的用户抱怨以及在Windows 8上运行的.NET应用程序调用我们的Web服务。 我们安装了运行IE 10和Fiddler 4的Windows 8的modern.ie虚拟机。我们注意到在Fiddler 4中,tunnel命令会定期显示输出: HTTP/1.1 200 Connection Established FiddlerGateway: Direct StartTime: 14:59:42.679 Connection: close fiddler.network.https> HTTPS handshake to hostname.com failed. System.Security.Authentication.AuthenticationException A call to SSPI failed, see inner exception. < The logon attempt failed 当我们在机器上的Windows事件查看器中查看时,我们看到Windows事件36887和消息。 A fatal alert was received from the remote endpoint. The TLS protocol defined […]
我有两个Apache 2.4.9 Linux服务器有一个有趣的问题:我试图禁用SSL v3和RC4,以阻止POODLE,并保持SSL实验室的快乐。 但是,每当我closuresSSL v3,我也失去了TLS 1.1和1.2(只保留TLS 1.0)。 这是我的Apache版本: $ apachectl -v Server version: Apache/2.4.9 (Unix) Server built: Mar 24 2014 10:51:20 和OpenSSL: $ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 和Linux: $ cat /proc/version Linux version 2.6.32-279.11.1.el6.x86_64 ([email protected]) (gcc version 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Sat Sep 22 07:10:26 EDT […]
我有一个服务器frontend.example.com与公共IP。 它的Apache(2.4)应该代理service1.example.com (DNS别名frontend.example.com )的stream量。 service1.example.com是两个私有LAN( 192.168.56.0 )之间的虚拟机。 现在,这对HTTP很简单: <VirtualHost *:80> ServerName service1.example.com ProxyPass / http://192.168.56.2/ ProxyPassReverse / http://192.168.56.2/ <Location "/"> Require all granted </Location> </VirtualHost> 我正在尝试为HTTPS做同样的事情: <VirtualHost *:443> ServerName service1.example.com SSLEngine On SSLProxyEngine On ProxyRequests Off SSLProxyCheckPeerCN off SSLProxyCheckPeerExpire off SSLInsecureRenegotiation on SSLProxyVerify none SSLVerifyClient none SSLCertificateFile /etc/ssl/certs/example_com.crt SSLCertificateKeyFile /etc/ssl/certs/example_com.key ProxyPass / https://192.168.56.2/ ProxyPassReverse / […]
无法启动apache2服务器。 错误信息在下面。 考虑到类似的问题( SSL错误 – 无法从文件读取服务器证书 , Apache无法读取证书文件等),仍然陷于这个问题。 任何帮助是受欢迎的。 谢谢。 me@localhost:/etc/apache2$ sudo service apache2 start * Starting web server apache2 Action 'start' failed. The Apache error log may have more information. [fail] me@localhost:/etc/apache2$ sudo apachectl configtest Syntax OK error.log中: [Thu Dec 17 17:24:11 2015] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Thu Dec […]
我正在运行在Ubuntu 16.04.1 LTS下运行的Apache 2.4.18服务器,只安装了PHP 7和Exim 4。 在清晨,SSL握手非常快,大约200毫秒,但随着时间的推移它增加了(约1小时后),8秒左右。 如果我重新启动Apache,SSL会再次变快,但过了一段时间后又会变慢,返回到8秒,有时会达到30秒。 我configuration了Apache ssh.conf(etc / apache2 / mods-enabled)如下: SSLRandomSeed startup builtin SSLRandomSeed startup file:/dev/urandom 512 SSLRandomSeed connect builtin SSLRandomSeed connect file:/dev/urandom 512 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLCompression off SSLSessionTickets off SSLUseStapling on SSLStaplingResponderTimeout 5 […]