Google正在通过SSL安全地托pipe所有网站,并使用“恐吓手段”(例如突出显示该网站为“不安全”)来创造更大更大的推动力。 我相信他们最终会在排名中增加安全网站的重量。 我的技术问题是我有一个网站引擎作为Azure云服务的一部分在IIS中作为单个站点托pipe。 我有1000多个不同的域名(不是子域名)指向网站,引擎决定向客户展示哪个网站。 这一切都很好。 然而,获得一个对应于1000个域名的SSL证书目前是不可用的(据我所知最多的是250),所以我试图find一种方法来解决这个问题。 我对如何做到这一点有一些想法,但没有一个看起来很理想。 另一个需要考虑的因素是网站可以来来去去,所以SSL证书的更新将会在合理的时间间隔内被要求。 有没有人处理过类似的事情,或者对于我可能进一步调查的方向有任何巧妙的想法?
我遇到TLS会话恢复问题。 握手发生后,我的IIS服务器在连接1上发送TCP RST。 之后,打开另一个TCP连接B并传输应用程序数据。 我的客户端中的每个请求都是这样的。 Apache webserver不会发生这种情况。 Client Server(IIS) TCP Time 1|—->——[SYN]–>——–|0.0000 1|–<——[SYN/ACK]–<——| 1|—->——[ACK]–>——–| 1|–>-[TLS Client Hello]–>–|0.0028 1|–<-[TLS Server Hello]–<–|0.0042 1|–>–[Handshake Msgs]—<–| 1|–>——[FIN/ACK]–>——|0.0108 B|–>——–[SYN]—->——|0.0115 1|–<——[RST/ACK]–<——|0.0119 B|–<——[SYN/ACK]–<——|0.0126 B|—->——[ACK]–>——–|0.0127 B|–>-[TLS Client Hello]–>–|0.0145 B|–<-[TLS Server Hello]–<–|0.0156 B|–>–[Handshake Msgs]—<–| B|–>-[Application DATA]–<–| B|–>——[FIN/ACK]–>——|6.5126 B|–<——[FIN/ACK]–<——|6.5136 B|–>——–[ACK]—->——|6.5137 这是IIS的正常行为,我们是否需要调整一些设置? 问题是每个请求都会在我的请求中增加200 ms,因为它需要从智能卡读取。
我有一个域domain.com的通配符证书和一个子域列表,如: a.blue.domain.com b.blue.domain.com c.blue.domain.com a.green.domain.com b.green.domain.com c.green.domain.com 我使用两个不同的通配符证书副本,一个用于blue.domain.com ,一个用于green.domain.com 。 每个副本都包含三个子域a , b和c作为替代名称。 从我所能find和testing的内容来看,对不同域使用多个证书的标准方法是在同一个绑定指令中指定多个证书,例如: frontend secure bind *:443 ssl crt /etc/ssl/green.pem crt /etc/ssl/blue.pem 不幸的是,这似乎并不适用于我的情况,因为只有替代名称在证书之间改变。 那么有什么方法可以使用基于证书替代名称的正确证书吗?
我正在使用Nginx的Apache反向代理,我有多个VHOSTS,我想在一个单一的nginx虚拟主机文件中提供全部支持SSL。 我的服务器块是 server { listen 80; server_name _; root /var/www/$host/web; access_log /var/log/mylogs/httpd/$host/access.log; location / { try_files $uri $uri/ /index.php; } location ~ \.php$ { proxy_pass http://SERVERIP:8090; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } location ~ /\. { deny all; } } 这对于所有站点没有SSL都能正常工作,但是当我为以下SSL支持做同样的工作时: server { listen 80; server_name _; ssl […]
我正在尝试检查configuration的SSL协议版本。 我在(jbossA7.2)的初始化脚本的standalone.xml和TLsv1中configuration了TLSV1,1.2。 当我尝试运行下面的命令来检查TLS版本时,它给tls1以下的错误,但tls1_2工作正常。 openssl s_client -connect <servername>:<portno> -tls1 CONNECTED(00000003) 140599791617864:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1275:SSL alert number 40 140599791617864:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:598: — no peer certificate available — No client certificate CA names sent — SSL handshake has read 7 bytes and written 0 bytes — New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported […]
IIS上的SMTP可以使用TLS 1.2吗? 我们正在使用Windows Server 2012 R2。 根据PCI-DSS要求,我们应该将所有的TLS连接迁移到版本1.2。 我不是指IIS本身的网站,而是SMTP服务。 在使用IISCrypto时,我将TLS限制为1.2,并导致我们的SMTP与TLS连接失败。 它也不适用于1.1版本。 只有TLS 1.0似乎工作。 我一直无法find有关SMTP和TLS 1.2的明确答案。 我很乐意提供build议,但请记住,预算是一个问题。 先谢谢你。
使用Nginx反向代理时遇到了麻烦。 我有一个私人networking上提供以下网站的服务器: a.example.com:10.32.58.01(内部DNSparsing) b.other.com:10.32.58.01(内部DNSparsing) 我创build了一个Nginx反向代理,可以访问这两个网站。 这个反向代理有IP 52.00.00.01(假一个)。 公共DNSparsing是: a.example.com:52.00.00.01 b.other.com:52.00.00.01 Nginx服务器/ etc / hosts文件包含以下parsing: 10.32.58.01 a.example.com b.other.com 问题是我的两个域有不同的SSL证书,我想我的反向代理validationSSL证书。 这是我的Nginx反向代理configuration失败: server { listen 80; server_name a.example.com; server_name b.other.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name a.example.com; ssl_session_cache shared:SSL:100m; ssl_session_timeout 180m; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS'; ssl_session_tickets off; ssl_certificate ssl/chained.example.com.crt; ssl_certificate_key ssl/example.com.key; location / { proxy_pass […]
最近我一直在阅读很多关于SSL证书的知识,并试图让我的本地主机服务拥有SSL证书,以避免警告和其他问题。 这些服务是100%本地的,他们的港口从来没有暴露在外面。 我知道CA不可能为localhost域颁发证书,我的一个select是自签名证书。 我为“host.domain.home”创build了一个,现在我在Firefox上有一个绿色的锁,但带有一个小的黄色警告符号,当我第一次尝试访问这个服务器的时候,我得到一个警告(因为它不是由authenticationCA)。 可以理解的。 是否有可能让警告消失? 我尝试将证书安装到Windows上的“受信任的根证书颁发机构”上,而Firefox证书pipe理器上的证书也一样。 但我仍然得到警告。 有没有可能“解决方法”这个?
我尝试切换到Google App Engine应用程序上的新版托pipeSSL ,并且一直停留在24小时以上的auto-renewing 。 任何人都知道估计这需要多长时间?
我想添加清漆到现有的networking堆栈,但我似乎无法得到我的网页的caching版本。 我想知道我可能做错了。 这个configuration工作,但我没有得到从清漆回来的caching响应: 1. Nginx is listening on port 443, request proxied to Varnish 2. Varnish is listening on port 80, request proxied to Node App 3. Successful Response 我试过了: curl -kIL https://www.example.com HTTP/1.1 200 OK Cache-Control: public, max-age=30 Set-Cookie: locale=en-ca; Path=/ Set-Cookie: locale=en-ca; Path=/ Content-Type: text/html; charset=utf-8 Content-Length: 161861 ETag: W/"27845-EcqEhuo8dduXo4rrAF4EfS6igbQ" Vary: Accept-Encoding Date: […]