我有一个LE证书的主机,它在浏览器中运行良好,但我仍然无法使用curl , openssl , wget , POST (libwww-perl)进行连接: curl # curl -v -3 https://example.com/ * Hostname was NOT found in DNS cache * Trying 123.123.123.123… * Connected to example.com (123.123.123.123) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * Unknown SSL protocol […]
大多数低成本SSL证书提供商确实只validation您是否控制域名。 对于这些types的证书,而不是支付第三方来validation我是否控制域的DNSlogging,为什么不在DNS中“签名”证书? 如果我在服务器上生成密钥对,并在主机名的DNS中发布相同的公钥,我会认为这将是一个等效的安全级别。 我看到devise有两个问题,但都很小: EA证书和validation个人/公司详细信息的高级证书不能这样做。 希望在浏览器中获得绿色栏的组织可以继续这样做。 stream氓DNS服务器的恶意networking可能会将您redirect到其他主机名和不同的可信SSL证书。 也许DNSSEC可以照顾这个拒绝问题? 我没有意识到任何浏览器实现这样的东西,但它似乎是一个很好的方法,至less得到一个可信的,encryption的连接,而不显示可怕的“不受信任的证书”对话框。 除了我上面提到的问题和现有的商业authentication机构对这个想法的反对之外,还有什么其他的原因是不好的?
刚刚听到一个播客说小SSL的SSL密钥大小。 他们说,你应该尽可能地使用一把钥匙,而不是真的说应该避免使用哪种钥匙。 所以问题是有一个推荐的最小密钥大小?
我正在使用的服务是刷新其SSL证书,现在我的连接到他们的服务失败。 他们在变革之前工作(如在变革之前的一个小时)。 他们的新旧服务器证书应该由Verisign签署。 我如何手动validation证书? 通过openssl x509工具运行它会自动执行吗? 使用openssl s_client连接到他们的服务器,我可以看到他们在SSL握手期间发送的证书。 通过带有-text选项的x509工具运行它,我得到以下发行者行: Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)10, CN=VeriSign Class 3 International Server CA – G3 和Subject: CN=值匹配我连接到的主机名。 与s_client连接时,我得到的抱怨是(我省略了主题行,以便不命名该服务): verify error:num=20:unable to get local issuer certificate verify return:1 verify error:num=27:certificate not trusted verify return:1 verify error:num=21:unable to verify the first certificate […]
我是SSL证书及其设置的新手。 我还没有find任何细节,所以我问什么可能是简单的问题。 我要订购一个SSL证书,所以我想知道一个带有指定通用名称example.com的SSL证书是否适用于example.com/app1/payment 。
我把puppet master和agent安装在同一台机器上。 当客户端启动时,我收到以下错误消息。 puppet agent –server=agent.com –no-daemonize –debug err: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed. This is often because the time is out of sync on the server or client
我有一个缓慢的Apache服务器与SSL 256位证书的问题 ab -n 500 https://example.com/ Time per request 29 ms ab -n 500 http://example.com/ Time per request 10 ms 在这两个请求中都会发送52字节,并且testing是从同一个数据中心中的服务器完成的 CONF SSLEngine on SSLProtocol All -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ALL:!ADH:!EXP:!LOW:!RC2:!3DES:!SEED:!RC4:+HIGH:+MEDIUM SSL比普通的HTTP请求慢3倍是正常的吗?
我想转换我们的外联网,目前可通过http使用https来代替。 服务器只能通过它的IP地址访问,没有域名。 我正在寻找一个免费的解决scheme来实现这个与Apache2。
我有一个由我的大学颁发的签名的CA。 我使用公钥文件生成了我的CSR,如下所示: openssl genrsa -out myservername.key 2048 (new key) openssl req -new -key myservername.key -out myservername.csr 我给他们发了CSR,他们把我的签名.crt文件发回给我。 我为我的CA密钥和证书创build了一个目录,并将它们放在那里。 我的httpd.conf的相关部分看起来像这样: <VirtualHost _default_:443> SSLEngine on SSLCACertificateFile /var/cosign/certs/CA/publickey.pem SSLCertificateFile /var/cosign/certs/myserver.crt SSLCertificateKeyFile /var/cosign/certs/myserver.key DocumentRoot /var/www/html/ <Directory /var/www/html> Options -Indexes AllowOverride All </Directory> 但是它没有使用SSL证书。 如果我这样做的话: openssl s_client -connect localhost:443 -showcerts 我得到这个: CONNECTED(00000003) depth=0 C = –, ST = SomeState, L […]
我的Linux / Apache网站上有一个即将到期的VeriSign证书。 我打算从VeriSign购买续约。 用Apache续签证书的最佳方法是什么? 我是否必须生成新的请求并重新开始? 我应该留意哪些缺陷?