Articles of ssl

我们试图跟踪客户端使用到我们的网站/networking服务的SSL协议，连接可以通过浏览器，或者，为Web服务各种肥皂库等我创build了一个自定义日志格式$ { SSL_PROTOCOL} e和$ {SSL_CIPHER} e在我们的testing服务器上（见下文） LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\" %m %H \" protocol:%{SSL_PROTOCOL}e:\" \"%{SSL_CIPHER}e\"" security 在apache2.conf中，并在可用站点上成功应用 CustomLog ${APACHE_LOG_DIR}/access.log security 它对一些stream量，但不是所有的预期工作，据我所见，只有PHP文件被张贴到或GOT填写正确的日志。 作为资源下载的文件不会显示协议或密码，只是显示一个-即使他们似乎使用SSL。 10.100.19.25:443 10.100.19.12 – – [16/Oct/2014:11:24:48 +0100] "GET /URL1/js/jsfile.js?_=1413454909537 HTTP/1.1" 200 5876 "https://testsite/URL1/URL2/File.php?token" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0" GET HTTP/1.1 "protocol:-:" "-" 是否有显示用于所有连接的ssl密码？

我在Debian 7.6上安装了lighttpd / 1.4.31（ssl），我想用标准的error.log来包含导致错误的主机的IP地址。 可能吗？ accesslog.format指令允许自定义访问日志，但我找不到适合的错误日志选项。 我主要对这些SSL错误感兴趣 (connections.c.305) SSL: 1 error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (connections.c.305) SSL: 1 error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher (connections.c.305) SSSL: 1 error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol (connections.c.1715) SSL (error): 5 -1 104 Connection reset by peer (connections.c.1715) SSL (error): 5 -1 32 Broken pipe

我有一个网站部署，使用kohana和URL重写，使URL更加宁静。 这工作正常。 我还将Moodle安装在同一台服务器的子目录中，并为此目录定义了一个子域。 所以Moodle安装在名为students的目录下，子域名为students.example.com。 这也工作正常。 我现在正在尝试安装我只需要在子域上的SSL证书。 我有一个Comodo通配符证书，所以它应该能够与子域一起工作。 当我使用https://example.com它工作正常，所以我可以看到SSL证书有效。 但是，当我尝试https://students.example.com它redirect到主站点。 http://students.example.com虽然工作正常。 适用于kohana重写规则的.htaccess文件是： # Use PHP5.4 Single php.ini as default AddHandler application/x-httpd-php54s .php # Turn on URL rewriting RewriteEngine On # Installation directory RewriteBase / # Protect hidden files from being viewed <Files .*> Order Deny,Allow Deny From All </Files> # Protect application and system files from […]

我正在写一个应用程序，使用长轮询将消息推送到客户端。 当它完成发送消息时，它不会结束请求：它只是刷新。 它工作正常，即使我通过nginx代理并通过互联网访问它。 upstream app { server localhost:1000; } server { listen 80; location / { proxy_pass http://app; client_max_body_size 20m; proxy_redirect off; send_timeout 86400; proxy_read_timeout 86400; proxy_buffering off; gzip off; } } 也就是说，直到我在nginx上启用SSL。 那么它不会再冲洗了。 我可以通过将ssl_buffer_size设置为1来解决这个问题，但是这会对性能产生负面影响。 server { listen 443; ssl_certificate cert.pem; ssl_certificate_key key.pem; ssl_buffer_size 1; … } 有了其他的缓冲区大小，除非请求结束，否则NginX不会刷新最后一个不完整的缓冲区。 有什么办法强制它？ 我想要这个愚蠢吗？ 我已经注意到，只要数据量低于61450字节，刷新就可以工作。 如果你尝试冲洗更多，它开始缓冲。

我有一个使用tomcat4的非常旧的Web应用程序。 B / C的卷毛狗脆弱性我需要禁用SSL3和禁用一堆弱密码。 我的连接器看起来像这样，但显然根据www.ssllabs.com我仍然SSL3启用。 有人可以告诉我什么是错的？ 任何有识之士将不胜感激，谢谢！ （编辑，所以它出现在页面上，所以有一些字符丢失，但重要的属性在那里） Connector className="org.apache.coyote.tomcat4.CoyoteConnector" port="443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true" SSLEnabled="true" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"> Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" /> </Connector

我试图禁用运行IIS 7.5的2008 R2 Web服务器上的SSLv3，但只要我禁用SSLv3并重新启动，网站不再可及。 我运行了SSLv3的数据包捕获仍然启用，我的客户端正在build立一个TLS 1.2连接，所以我不明白为什么禁用SSLv3打破了网站。 我不是最强大的encryption，但知道的基础知识，所以任何洞察力，我什么是造成这个问题表示赞赏。 下面是我运行的PoSH脚本（将SSLv3registry项的值更改为1，以使站点重新联机）： # Add and Enable TLS 1.0 for client and server SCHANNEL communications md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0' -Force md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'Enabled' -value '0xffffffff' -PropertyType 'DWord' -Force New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force # Add and Enable TLS […]

我正在考虑从外部authentication中心购买SSL证书到我的networking服务，不涉及电子商务。 所以我打算要求最简单的1级证书来消除可怕的警告信息 （例如，当使用自签名证书构buildhttps连接到站点时，chrome警告） 。 你的连接不是私人的 攻击者可能试图从本地主机上窃取您的信息（例如，密码，信息或信用卡）。 返回到安全隐藏高级此服务器无法certificate它是本地主机; 其安全证书不被您的计算机操作系统信任。 这可能是由错误configuration或攻击者拦截您的连接引起的。 继续本地主机（不安全） NET :: ERR_CERT_AUTHORITY_INVALID 通过谷歌，我看到了一些问题 （ 在Android上未接受1级证书 ， StartSSL class 1证书不被浏览器接受（Weblogic 10.0.1） ） 说他们的1级证书不被某些浏览器/环境所接受。 虽然他们的原因似乎只是错误的设置。 此外，有消息称Mozilla计划从2017年1月1日起拒绝基于不安全algorithm的签名开始的证书 。（ 使用基于SHA-1的签名algorithm淘汰证书 ） 也就是说，因为基础algorithm是不安全的，所以存在拒绝证书的公告。 而且我想知道是否有一些浏览器/环境因为调查级别太低而拒绝证书？ 总之，我想确保： 有没有现代的浏览器/机器不接受1级证书，并显示给用户可怕的消息？

客户端是所有机器上的Windows 7 SP1的64位。 除了一台机器之外，证书的安装很顺利。 它只是说，网页不能显示在ie（closures友好的错误），在铬和FF显示连接中断。 SSL的高级选项（如TLS和SSL版本）在不同机器上的不同浏览器中完全相同。 我甚至在机器上吹起轮廓，重新创造了她，效果也一样。 没有漫游configuration文件。 只是桌面和文档文件夹的文件夹redirect。 有没有人有什么build议去哪里？

我一直在试图强化一个网站，以防止涉及会话劫持的攻击。 该网站在Node.js应用程序前面运行Nginx。 作为其中一个对策，目标是configurationNginx将应用程序会话ID绑定到SSL会话。 为此，我使用下面的第三方模块： https ： //github.com/wburgers/Session-Binding-Proxy ，它实现了以下文章中描述的概念。 我用模块成功地重build了Nginx，但是我很难让它正常工作（甚至是一致的）。 无论我尝试，代理要么： 1）校验和不匹配： 2014/12/17 21:17:32 [debug] 3113#0: *1 ssl_session_master_key: 25a913d0524eb78d8433fdd5f5cf930a9a948ce09f5bfd8d 2014/12/17 21:17:32 [debug] 3113#0: *1 Session Binding Proxy encryption/decryption key: 80F426773F639A33C3279B55BDE9842D3767844DA026AEFF523C08DA03257A00 2014/12/17 21:17:32 [debug] 3113#0: *1 Session Binding Proxy Handler searching for: connect.sid 2014/12/17 21:17:32 [debug] 3113#0: *1 Session Binding Proxy Handler in string: __insp_wid=1037948077; __insp_nv=true; __insp_ref=d; […]

我们的漏洞扫描器（基于Saint）声称大量设备和服务器容易受到SSL / TLS重新协商缺陷（CVE-2009-3555）的影响。 这些服务器和设备中的大多数在补丁/固件上是相当新的。 由于这个问题已经有5年多了，我怀疑这个问题主要是误报。 为了validation，我跑了这个： openssl s_client -connect xxxx:443 <snip> GET / HTTP/1.1 R RENEGOTIATING depth=0 CN = XXXX, L = Utopia, ST = UU, C = US, O = Acme, OU = IT verify error:num=18:self signed certificate verify return:1 depth=0 CN = XXXX, L = Utopia, ST = UU, C = US, O […]