服务器 Gind.cn

Articles of openssl

openssl更新1.0.1f到1.0.1g打破sendmail(SSL23_GET_SERVER_HELLO:tlsv1警报解码错误)

两天前我更新了openssl 1.0.1f到1.0.1g。 一切似乎都很好。 但是过了一会儿,在sendmail日志中popup一个错误消息: OpenSSL 1.0.1g失败 4月10日10:13:45邮件sendmail [17568]:STARTTLS =客户端,错误:连接失败= -1,reason = tlsv1警报解码错误,SSL_error = 1,errno = 0,重试= -1 4月10日10:13:45邮件sendmail [17568]:STARTTLS =客户端:17568:错误:1407741A:SSL例程:SSL23_GET_SERVER_HELLO:tlsv1警报解码错误:s23_clnt.c:762: 4月10日10:13:45 mail sendmail [17568]:ruleset = tls_server,arg1 = SOFTWARE,relay = mail.example.com,reject = 403 4.7.0 TLS握手失败。 邮件尚未发送。 OpenSSL 1.0.1f的作品 然后我降级到1.0.1f,邮件已经发送: Apr 10 10:17:31 mail sendmail [31809]:STARTTLS = client,relay = mail.example.com,version = TLSv1 / SSLv3,verify = FAIL,cipher = […]

当apachectl优雅时,apache采取旧的openssl库

由于心脏病的脆弱性,我已经重新编译了非易受攻击的最新版本的openssl(由于一些依赖性问题,我不得不保留旧的易受攻击的openssl)。 它运行良好,当mydomain.com heartbleedtesting它说,“似乎是固定的或不受影响”。 但是,如果我做apachectl graceful和考验heartbleed它说mydomain.com是脆弱的。 如果我做/usr/local/etc/rc.d/apache2 restart或apachectl restart没有问题。 1)我的问题是,为什么只需要apachectl graceful需要旧的openssl库? 2)访问openssl库时, apachectl restart和apachectl graceful什么区别?

openssl从0.9.8w升级到0.9.8y

我正在尝试将openssl版本从0.9.8w升级到0.9.8 y,以解决以下安全漏洞CVE-2012-2333,CVE-2013-0166,CVE-2013-0169。 虽然试图升级我面临以下依赖和任何有识之士将不胜感激。 [root@CAM store]# openssl version OpenSSL 0.9.8w 23 Apr 2012 [root@CAM store]# rpm -qa | grep openssl openssl-0.9.8e-22.el5 openssl-0.9.8w-1 [root@CAM store]# rpm -Uvh openssl-0.9.8y-1.i386.rpm error: Failed dependencies: libcrypto.so.6 is needed by (installed) m2crypto-0.16-8.el5.i386 libcrypto.so.6 is needed by (installed) python-libs-2.4.3-46.el5.i386 libcrypto.so.6 is needed by (installed) openldap-2.3.43-25.el5.i386 libcrypto.so.6 is needed by (installed) net-snmp-libs-5.3.2.2-17.el5.i386 libcrypto.so.6 is […]

Haproxy SSL握手失败

我有一个特定的客户端遇到我的haproxy负载平衡器的问题。 haproxy日志中的错误消息:] incoming_ssl/1: SSL handshake failure 有问题的客户端似乎是一些Apache Java客户端或ActiveMq服务器 – 无论哪种方式,它是远程服务器,我们有零控制。 使用ssldump,我看到这些行: 11 5 0.4152 (0.1649) C>S Alert level fatal value certificate_unknown 11 0.4152 (0.0000) C>S TCP FIN 使用curl/浏览器一切看起来很好,我已经做了一些ssl检查,报告没有这样的问题。 我已经尽可能多地从我的haproxyconfiguration文件中解脱出来来诊断问题。 我甚至直接testing了后台(NodeJS)服务器的工作正常 – 客户端可以连接。 这是defo haproxy,我只是不知道如何解决这个问题。 我的基本haproxy conf文件如下所示: frontend incoming_ssl bind *:443 ssl crt /etc/haproxy/cert.key ca-file /etc/haproxy/cert.pem ciphers ECDHE-RSA-AES256-SHA:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM acl flume hdr_dom(host) -i dom.ain.com use_backend flume if […]

OpenSSL ChangeCipherSpec漏洞 – ubuntu解决scheme

我用这个工具检查了一个站点,结果又回来了:“这个服务器很容易受到OpenSSL CCS漏洞(CVE-2014-0224)的攻击。” 我四处search,发现不易受攻击的版本必须高于这个输出: OpenSSL 1.0.1 14 Mar 2012 built on: Mon Jun 2 19:37:18 UTC 2014 我目前的版本是 OpenSSL 1.0.1c 10 May 2012 built on: Fri May 2 20:25:02 UTC 2014 我尝试了几种方法来升级我的openssl,像这样 ,但我仍然得到相同的版本。 例如,当我执行sudo apt-get dist-upgrade我收到以下消息: Reading package lists… Done Building dependency tree Reading state information… Done Calculating upgrade… Done 0 upgraded, 0 newly installed, 0 […]

无法更新CentOS 6.5和OpenSSL

当试图在CentOS上更新OpenSSL时,我收到了一些奇怪的错误。 #rpm -qi openssl-libs Name : openssl-libs Relocations: (not relocatable) Version : 1.0.1e Vendor: (none) Release : 19.el6 Build Date: Thu 02 Jan 2014 07:35:50 PM UTC Install Date: Thu 02 Jan 2014 07:42:06 PM UTC Build Host: xxxxxx Group : System Environment/Libraries Source RPM: openssl-1.0.1e-19.el6.src.rpm Size : 2668401 License: OpenSSL Signature : (none) URL […]

OpenSSL PositiveSSL证书不可信连接

我买了一个SSL证书,我不能得到它的function。 我得到This Connection is Untrusted错误在Firefox。 我相信这是由于我的.crt文件不完整/错误。 我的.crt是使用以下命令生成的: openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 我得到的是一大块数据。 它有一个开始标题和一个结束。 认为这是不正确的原因是由于我浏览的示例文件。 例1 , 例2 。 这些信息比我在文件中的大量数据要多得多。 我遇到了由于我的.crt文件的问题? 还有什么可能导致错误。 我已经尽了最大的努力find一些答案,但是我发现的答案一直不适用于我的问题或与我的问题无关。 我在.conf文件中启用了SSLEngine ,并启用了ssl mod。 我对安装SSL证书是全新的,我以前从来没有尝试过这样的事情,只是你知道。 我运行在VPS上的Ubuntu 14.04 64位。 当我购买我的域名时,证书是活动的并且通过Namecheap从PositiveSSL购买。

Nginx恢复到sslv3

我使用nginx作为反向代理,我试图closuressslv3的支持。 我在这里和其他各种网站上都find了各种答案。 他们都build议我所需要做的就是在我的nginx.conf中添加如下的默认http块 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4"; ssl_prefer_server_ciphers on; 我已经完成了,甚至尝试从https://cipherli.st/这个完整的configuration ssl_ciphers "AES128+EECDH:AES128+EDH"; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; ssl_session_tickets off; # Requires nginx >= 1.5.9 ssl_stapling on; # Requires nginx >= 1.3.7 ssl_stapling_verify on; # Requires nginx => 1.3.7 resolver […]

为CentOS版本5.9(Final)启用Apache / 2.2.29(Unix)的TLS 1.2

尝试testing我的SSL服务器testing https://www.ssllabs.com/ssltest/analyze.html?d=cp3.co.in 并获得“C”级错误 No support for TLS 1.2, which is the only secure protocol version. 当尝试更新OpenSSL而不是显示OpenSSL 1.0更新的单个可用命令时 我目前打开的SSL版本 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 请帮我做到这一点,我不是一个服务器专家。

NGINX TLSv1.3是否支持对同一IP地址的不同服务器使用不同的密码/哈希/ MAC?

我有两个不同的域 – thisdomain.com和portal.thisdomain.com 。 但只有一个面向公众的IP地址。 每个域都有自己的SSL证书,但共享相同的中间CA. 使用相同的IP地址(并且NGINX HTTP服务器支持SNI),我想为网站URL的不同部分提供一套不同的TLSv1.2-only密码/散列/ MAC。 NGINX是否能够支持不同的密码/哈希/ MAC: 同一个域的不同子域? 和/或 不同的同一个域的URL子目录? 而使用相同的IP地址? 在不同域的例子中, https://portal.thisdomain.com/能够通过https://thisdomain.com拥有自己的密码/哈希/ MAC设置? 在不同的URL 子目录的例子中, https://thisdomain.com/portal可以通过https://thisdomain.com/拥有自己的密码/哈希/ MAC?
Intereting Posts
如果安装的闪存大小不足以满足其中的两个,则如何在Cisco设备上安全地安装新的IOS映像? 我可以在没有密码的情况下还原SQL服务器备份(.bak)吗? Windows删除文件夹'。' 灯 – ​​这个虚拟主机的创build过程是否正确? 备份cron作业后,我的服务器会脱机几分钟 gmail会从SPF联系IP,并且无法将邮件发送到某些域 在Windows Server 2003中自动连接到VPN 使IIS看到更新的环境PATHvariables FCGI&重新编译Python代码,无需重新启动Apache Plesk 12.5.30 Web专业版 – 增加邮箱大小 Cisco ASA 5520在负载下失败 在windows上安装nginx + php + mysql 在CentOS 5.7 x86_64上安装httpd-devel DNS,logging通配符优先于更具体的CNAME吗? 是否有一个最小/轻量级Linux发行版直接引导到Xen / VBox,所以我可以创build/启动到一个或多个虚拟机?