Articles of ssl

我最近在我的服务器上安装了SSL证书。 然后我尝试了这个工具来testing我的服务器上新安装的SSL证书，看看是否没有问题。 事实certificate， SSL 3协议存在一个问题，即由于POODLE攻击的脆弱性而导致它不安全。 该页面build议禁用SSL 3以缓解它。 所以我search了如何在Apache 2.4服务器上禁用* SSLv3和SSLv2 **。 我发现了几个教程，说…要在我的Ubuntu 14.04服务器上使用Apache 2.4来禁用SSLv3和SSLv2 ，我必须在/etc/apache2所有文件上编辑所有SSLProtocol all实例，并将其更改为SSLProtocol all -SSLv2 -SSLv3 。 我已经完成了以下工作，但SSL实验室的SSL服务器testing工具仍报告相同的问题。 已经添加到我所有的虚拟主机和所有的SSLProtocolconfiguration文件… SSLProtocol all -SSLv2 -SSLv3 关于我的服务器设置 在我的服务器上，我已经安装了磅代理与清漆caching 。 我这样做是因为Varnish不能使用HTTPS来完成它，所以我设置了Pound并使用Varnish作为后端。 设置工作正常，清漆在HTTPScaching。 我的SSL证书安装正确，我已经确认使用Digicert和SSL实验室的在线工具。 与Pound一起使用的SSL Pem文件包含从.key ， .crt和CA.pem提取的信息。 我的服务器细节 以下是关于我的服务器的一些细节。 它主持一个单一的WordPress的实例，它正在生产。 端口 Apache – 在端口8080上 Apache ports.conf和sites-available/myvhost.conf – <IfModule mod_ssl.c> Listen 9443 阿帕奇 清漆后端 – 端口8080 Varnish […]

我从Chrome获得上述投诉。 我发现该网站使用过时的安全设置，可能会阻止未来版本的Chrome能够安全地访问它 ，但这对我来说不是问题，因为证书是SHA2。 有什么问题？ 有问题的网站是http://imgh.robus.info ，这里是SSL报告（A级） https://www.ssllabs.com/ssltest/analyze.html?d=imgh.robus.info

我的虚拟主机如下所示： <VirtualHost example.com:443> SSLEngine on SSLCertificateFile /etc/apache2/ssl-keys/example/example.crt SSLCertificateKeyFile /etc/apache2/ssl-keys/example/example.key SSLCACertificateFile /etc/apache2/ssl-keys/example/COMODO_EV_SSL.ca-bundle.crt SSLProtocol -ALL -SSLv3 +TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown BrowserMatch ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" DocumentRoot /home/example/www/current/web ServerName example.com ServerAlias www.example.com <IfModule php5_module> php_value newrelic.appname "Example" </IfModule> </VirtualHost> 如果我去https ：// example.com，一切都很好，但是对于我来说，如果我去任何指向同一个服务器的域名（如https […]

Android的bug跟踪器中的这个问题似乎表明，SNI已经在Android操作系统的一部分现在一段时间，所以我很惊讶地发现，访问我们的CloudFlare Flexible-SSL的网站在Facebook的Android应用程序抛出一个安全警告，当使用它的内置浏览器。 如果我切换到外部的Chrome浏览器，那很好。 如果我使用Chrome浏览器或股票浏览器，这也很好。 与iOS上的Facebook相同的页面/网站 – 没有问题。 有没有其他人经历了CloudFlare Flexible-SSL（利用SNI），尤其是Android上的Facebook？

在这个服务器故障线程上find的答案是我的跳转点这个一般的主题： https ： //serverfault.com/a/313558 …这个问题可以被认为是这个答案的后续。 我的SSL证书是否与对称会话密钥有关？ （我知道浏览器和Web服务器在这里都有作用，但是authentication本身呢？） 如果是：证书中指定的是哪里？ 如果否：为什么CA都夸耀隐含地指向会话密钥的“128位到256位encryption”？

目标是外部用户可以通过HTTPS进行连接，通过Apache的基本身份validation，然后查看代理tomcat站点。 我已经build立了一个反向代理到一个运行在不同端口上的同一台机器上的tomcat服务器，使用基本authentication：（/etc/httpd/conf.d/vhost.conf） NameVirtualHost *:80 <VirtualHost *:80> ServerName sub.domainx.co.uk ErrorLog "/var/log/proxy/domainx_prox_error_log" CustomLog "/var/log/proxy/domainx_prox_access_log" common ProxyRequests Off <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> <Location /> AuthType Basic AuthName "Proxy Auth" AuthUserFile /var/www/syzygy-auth/CONFLUENCE/.htpasswd Require user ukuser Satisfy any Deny from all Allow from 192.168.0.0/21 </Location> ProxyPass / http://sub.domainx.co.uk:8090/ ProxyPassReverse / http://sub.domainx.co.uk:8090/ </VirtualHost> 以上工作正常。 […]

我正在尝试为两个全新的RHEL 6.6 x64服​​务器获取MySQL SSL复制设置。 我有没有SSL的复制工作，但我不能使用SSL设置它，也不能直接使用SSL连接。 我已经尝试从主机和从机连接mysql -h xxxx -u root -p —ssl = 1 –ssl-ca = ca.pem –ssl-cert = client-cert.pem –ssl- key = client-key.pem ，以及本地（Windows + MySQL Workbench），无论如何，我得到： ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1) 因为RHEL带有MySQL 5.1，所以我把https://webtatic.com/packages/mysql55/上的 master和slave都升级到了5.5，现在两个版本的mysql都升级了。“Ver 14.14 Distrib 5.5.43 for Linux（x86_64）使用readline 5.1“ 然后，我尝试使用https://www.howtoforge.com/how-to-set-up-mysql-database-replication-with-ssl-encryption-on上的教程设置带有自签名证书和复制的SSL -centos-5.4 我确保为所有三个证书使用不同的通用名称， opensslvalidation确认在针对ca.pem进行testing时，client-cert.pem和server-cert.pem都是“OK”。 但是，无论我尝试什么，我仍然会遇到SSL连接错误。 主人的错误日志没有错误，没有别的我可以看到，这将导致失败。 任何帮助将不胜感激！ 谢谢。

我现在的nginx.conf看起来像这样： server { listen 80; server_name www.example.com; root /var/www/; location / { } location /users { rewrite ^ https://$http_host$request_uri? permanent; } } server { listen 443 ssl; server_name www.example.com; root /var/www/; location /users { } location / { rewrite ^ http://$http_host$request_uri? permanent; } } 通过这种configuration，当用户在网站上浏览页面时，连接从/切换到ssl / non-ssl，对于urls以/users开始，对于所有其他urls，non-ssl为ssl。 因此，即使用户在浏览器的地址栏中明确键入了https://www.example.com/ ，结果页面也会redirect到http://www.example.com/ 。 有没有一种方法来实现上述设置实现的ssl / non-ssl之间的自动url重写，但仍然尊重明确的ssl请求，如果https://是用户在浏览器的地址栏中显式键入？

我有一个运行的应用程序：NGINX（SSL）=> VARNISH（CACHE）=> APACHE / PHP。 运行ab基准testing ，我能够通过EC2 t2.small实例在清漆层（通过HTTP）实现30k +请求/秒。 然而，当我通过NGINX（HTTPS）运行testing时，我只能够推送160个请求/秒（来自公共networking的TTFB的平均值为43ms）。 @ nginx.conf user nginx; worker_processes auto; worker_rlimit_nofile 65535; error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; events { worker_connections 16024; multi_accept on; } 并在http级别： sendfile on; tcp_nopush on; keepalive_timeout 10; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; @ domain.conf server { listen 443 ssl; server_name xyz.com; ssl_certificate /home/st/ssl3/xyz.crt; ssl_certificate_key /home/xyz/ssl3/xyz.key; ssl_protocols TLSv1 […]

我得到这个check_nrpe SSLL无法完成主服务器握手错误，当我尝试执行下面的命令。 /usr/local/nagios/libexec/check_nrpe -H 10.192.122.234 10.192.122.234 –> nagios client machine 但是当我使用 /usr/local/nagios/libexec/check_nrpe -H localhost 它给出了适当的结果，即使用主服务器IP，它甚至是nrpe版本，而不是本地主机，它给了我nrpe版本的结果。 当我从nagios客户端机器执行相同的命令时，它再次给我nrpe版本。 主服务器IP位于nrpe.cfg文件中。 有关信息，主ip和客户ip都configuration了eth1。 那么问题在哪里，为什么我的主服务器无法在客户机上运行这个命令？