我只注意到(通过一些在线检查工具)我的邮件服务器可能允许SSLv3和更新我的configuration。 我在Postfix 2.11.2中的当前configuration: # inbound smtpd_tls_security_level = may smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3 # outbound smtp_tls_security_level = may smtp_tls_mandatory_protocols = !SSLv2 !SSLv3 不幸的是,这些工具一直在说SSLv3被接受。 如何将所需的(nginx)configuration转换为Postfix(入站和出站)? 使用Debian / 7,Postfix / 2.11.2,OpenSSL / 1.0.1e
我写一个脚本来检查所有我的域的SSL到期date。 这适用于我的正常站点: echo | openssl s_client -connect $domain:443 2> /dev/null | openssl x509 -noout -enddate 但是,它不适用于AWS CloudFront。 我已经将自己的证书上传到CF,并使用CNAME。 输出是: CONNECTED(00000003) 15336:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure 有谁知道为什么? 我已经尝试了-ssl2和-no_ssl3选项。 谢谢!
我在Debian VPS(xen domU)上遇到了有关SSL的问题。 即几乎所有的SSL连接挂在客户端你好。 例如: # curl -vI https://graph.facebook.com 关于连接()到graph.facebook.com端口443(#0) 尝试66.220.146.48 …连接 连接到graph.facebook.com(66.220.146.48)端口443(#0) 成功设置证书validation位置: CAfile:无CApath:/ etc / ssl / certs SSLv3,TLS握手,客户端hello(1): 使用openssl客户端时是一样的。 但是,一些SSLstream量工作(例如https://www.nordea.se )。 服务器 #uname -a Linux server.com 2.6.26-1-xen-amd64 #1 SMP Fri Mar 13 21:39:38 UTC 2009 x86_64 GNU/Linux 但是它确实在我的Dom 0(主要的主机)上工作。 apt-get的 我甚至不能运行apt-get更新与debian安全来源(挂在阅读标题) 打开SSL 开始时我以为我有一个老的openssl客户端(0.9.8o-4),因为我看起来在Dom 0(0.9.8g-15 + lenny8)上有一个更新的版本,但是在openssl deb上做了一个更新帮帮我。 打开SSL客户端 这是openssl客户端挂起时的完整输出: http : //pastebin.com/PAjwMap9 […]
我有一个关于nagios工具的小问题: 是否有可能通过代理监视https站点? 这意味着我想监视我的代理是否可以访问互联网上的一些https资源? 我认为这个命令是没有问题的: /usr/lib/nagios/plugins/check_http -j CONNECT -u "https://banking.postbank.de" -S 但我们的nagios服务器没有直接的互联网接入,这个命令不工作..(openssl安装)我认为“-S”选项不工作与代理..: /usr/lib/nagios/plugins/check_http -I 10.46.4.200 -p 8080 -j CONNECT -u "https://banking.postbank.de" -S 所以这里是一个问题:该怎么办? 是德某种check_https? 或类似的东西? 有没有人做过这样的检查? 非常感谢您的帮助,Fake4d
我有一个虚拟主机指令,如果input了无效的子域名,则会提供自定义404错误: <VirtualHost *:80> # the first virtual host ServerName site_not_found RedirectMatch 404 ^/(?!custom_error) </VirtualHost> <VirtualHost *:80> ServerName example.com ServerAlias ??.example.com </VirtualHost> 我想设置一个虚拟主机,通过HTTPS连接显示相同的自定义错误。 我已经尝试了以下内容: <VirtualHost *:443> # the first virtual host ServerName site_not_found RedirectMatch 404 ^/(?!custom_error) </VirtualHost> <VirtualHost *:443> ServerName example.com ServerAlias ??.example.com # SSL options, other options, and stuff defined here. </VirtualHost> 但服务器不会启动并发出错误: 服务器应该是SSL感知的,但没有configuration证书[提示:SSLCertificateFile]((null):0) 看来,即使SSLEngine没有为这个虚拟主机打开,也需要SSL证书。 […]
我们在Ubuntu 12.04和Apache 2.2.2版本。 我们在我们的网站上进行了PCI扫描,出现了两个漏洞,我们无法控制。 首先是BEAST攻击和其他一个SSL RC4密码套件的支持。 到目前为止,我已经尝试以下看起来很有前景 在寻求帮助之后,我尝试了更多更改,但是这些更改反过来开始破坏浏览器并被丢弃。 SSLProtocol -SSLv2 -TLSv1 +SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH SSLCompression off 要么 SSLProtocol ALL -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS SSLCompression off 基于ssllabs上的扫描结果,我能够得到只有一个减轻的漏洞。 我需要做哪些修改,以解决这两个漏洞,并支持当前版本的浏览器?
我正在为Intranet创build一个证书颁发机构。 我已经生成了根和中间CA,并使用中间CA成功签署了服务器证书。 服务器证书有CN=mysite.com 。 在将来,这个服务器证书将过期,我将需要发布一个新的。 但是,如果我使用相同的CN=mysite.com创build另一个CSR,那么当我签署它时,我会得到 failed to update database TXT_DB error number 2 如果我使用不同的CN创build一个新的CSR,这个错误就会消失,但是CN必须是相同的,否则浏览器不会说这是有效的,对吗? 我该如何解决? 编辑:我正在按照本指南 – 一切都很好,直到链接页面结束,但是当我尝试重复此页上的步骤来创build第二个证书,openssl要求我给新的证书一个不同的CN。 SUBJ="/C=$C/ST=$ST/L=$L/O=$O/OU=$OU/CN=$CN" # Generate CSR echo "$PW" | openssl req \ -config "$CAROOT/intermediate/openssl.cnf" \ -new -sha256 -subj "$SUBJ" -passin stdin \ -key "$PRIV_ENC" -out "$CSR_INT" >/dev/null 2>&1 || { >&2 echo "Could not openssl req"; exit 1; […]
好的 – 在这里用几天的时间在CentOS 5.7上编译Apache 2.2.21,使用下面的configuration命令: ./configure –enable-ssl=shared –with-ssl=/usr/local/openssl 我从源代码源OpenSSL 1.0.0e编译: ./config –prefix=/usr/local –openssldir=/usr/local/openssl shared zlib-dynamic 我尝试启动Apache并返回: httpd: Syntax error on line 54 of /usr/local/apache2/conf/httpd.conf: Cannot load /usr/local/apache2/modules/mod_ssl.so into server: /usr/local/apache2/modules/mod_ssl.so: undefined symbol: SSL_get_servername 如果我看看这些图书馆是如何联系的,那么这就是我所得到的: [root@web1 modules]# ldd mod_ssl.so libssl.so.6 => /lib64/libssl.so.6 (0x00002aaaaace4000) libcrypto.so.6 => /lib64/libcrypto.so.6 (0x00002aaaaaf30000) libdl.so.2 => /lib64/libdl.so.2 (0x00002aaaab281000) libz.so.1 => /lib64/libz.so.1 (0x00002aaaab486000) libpthread.so.0 […]
想要build立一个CA,但很难find一个好的基于Web的X509 PKI工具,有什么build议吗?
我知道如何使用openssl命令行创buildx509证书。 但现在我想创build一个自定义的扩展。 我怎样才能用openssl命令行来做到这一点?