我刚刚安装了一个新的SSL证书(从StartCom)到我们的服务器之一,并注意到在Chrome中有一个为该网站显示的交叉挂锁图标,所以我开始调查为什么这样。 原来,这是因为发送给浏览器的中间证书使用了旧的SHA-1签名algorithm。 可以肯定的是,我抓取了我们的证书(就像CA原来的证书一样),再次通过OpenSSL运行,将其与SHA-2中间证书(我从CA网站下载)合并,并在IIS上重新更新。 它仍然没有帮助。 我在SSL实验室进行了testing,结果如下: 我不知道的是这里显示的中间证书(指纹“a1ac …”)来自哪里。 它没有安装在服务器上 – 我通过尝试在服务器的“证书”pipe理单元中find它进行检查: 它不是我分配给站点的证书的一部分 – 这是certutil -dump cert.pfx的输出: ================ Certificate 0 ================ ================ Begin Nesting Level 1 ================ Serial Number: 1cab36472d9c51 Issuer: CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL NotBefore: 10/14/2007 10:57 PM NotAfter: 10/14/2022 10:57 PM Subject: CN=StartCom Class 2 Primary Intermediate Server CA, […]
所以我最近设置了一个个人的GitLab服务器,我正在使用完整SSL的以下configuration。 我尽我所能,但还有什么可以做得更好? 我大部分时间都是通过闲暇时间了解我对networking服务器的了解,所以我没有真正遵循任何规范。 请让我知道任何意见和疑虑。 server_tokens off; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self''unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com h https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'"; server { listen 80; listen 443 default ssl […]
我们有一个networking服务器与几个互联网IP。 我已经成功地设置了基于SNI名称的虚拟主机,它工作的很好。 我想要做的是让我们的主站点不使用SNI,并使用唯一的IP地址之一,以便我们对该站点的浏览器支持得到改进(XP / IE组合..) 我们运行一个非常stream行的网站,其中有相当数量的用户运行严重过时的浏览器,所以这对我们来说非常重要。 在CentOS 6上运行Apache 2.2(2.2.15-47.el6_7)。
我的邮件服务器运行postfix / dovecot安装程序时遇到问题,本质上,当我运行各种安全testing时,我得知我的证书无法validation,请参阅https://ssl-tools.net/mailservers/ brailsford.xyz 我可用的证书和相关文件(根据https://brailsford.xyz有效)是: AddTrustExternalCARoot.crt brailsford_xyz.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 我也有我的密钥文件,brartford_xyz.key 我在postfix中的设置是: smtpd_tls_cert_file=/etc/ssl/certs/postfixchain.crt smtpd_tls_key_file=/etc/ssl/private/brailsford.key smtpd_tls_CAfile=/etc/ssl/certs/COMODORSADomainValidationSecureServerCA.crt smtpd_use_tls=yes 后缀链是以前的三个证书的组合,顺序如下: brailsford_xyz.crt COMODORSADomainValidationSecureServerCA.crt AddTrustExternalCARoot.crt 任何人都可以build议我做错了什么,我该如何纠正?
我试图更新我的服务器的证书。 目前的一个已经在1个月前过期了,但是到现在为止我还没有照顾过它。 我尝试使用letsencrypt-auto renew命令,但失败了: 注意:我更改了域/用户/服务器名称。 user@vps:~/letsencrypt# ./letsencrypt-auto renew Updating letsencrypt and virtual environment dependencies……. Running with virtualenv: sudo /home/user/.local/share/letsencrypt/bin/letsencrypt renew Processing /etc/letsencrypt/renewal/www.example.com.conf 2016-04-02 07:07:00,862:WARNING:letsencrypt.cli:Attempting to renew cert from /etc/letsencrypt/renewal/www.example.com.conf produced an unexpected error: You've asked to renew/replace a seemingly valid certificate with a test certificate (domains: www.example.com, example.com). We will not do that unless you […]
我有一个Apache的nginx服务器运行https://正确configuration了letsencrypt证书。 我可以连接与Firefox,铬,即。 他们都报告连接安全。 不过centos7和ubuntu 14.04报告证书错误: wget https://gitlab.timeless.cz:8443 Resolving gitlab.timeless.cz (gitlab.timeless.cz)… 82.100.8.23 Connecting to gitlab.timeless.cz (gitlab.timeless.cz)|82.100.8.23|:8443… connected. ERROR: cannot verify gitlab.timeless.cz's certificate, issued by '/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3': Unable to locally verify the issuer's authority. 根据https://www.ssllabs.com/该网页是正确的。 输出 openssl s_client -connect gitlab.timeless.cz:8443 是 CONNECTED(00000003) depth=0 CN = gitlab.timeless.cz verify error:num=20:unable to get local issuer certificate verify […]
我意识到这看起来像至less有其他几个问题的重复,但我已经多次阅读它们,但仍然做错了什么。 以下是位于/etc/nginx/sites-available myexample.com nginxconfiguration文件的内容。 server { listen 443 ssl; listen [::]:443 ssl; server_name myexample.com www.myexample.com; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ssl_certificate /etc/letsencrypt/live/myexample.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myexample.com/privkey.pem; #Configures the publicly served root directory #Configures the index file to be served root /var/www/myexample.com; index index.html index.htm; } 它的工作原理,当我去https://myexample.com内容服务和连接是安全的。 所以这个configuration似乎是好的。 现在,如果我将ssl端口更改为9443并重新加载nginxconfiguration,则configuration将无误地重新加载,但访问https://myexample.com会在浏览器中显示错误(无法到达此站点/ myexample.com拒绝连接。ERR_CONNECTION_REFUSED) 我已经尝试了build议和文档, 在 这里 , 在 这里 (其中),但我总是得到ERR_CONNECTION_REFUSED错误。 我应该注意到,我可以使用非标准端口,然后将该端口显式input到URL中,例如https://myexample.com:9443 。 […]
我们想运行一个只有SSL的lighttpd进程。 应该使用哪个configuration选项来closures端口80的未encryptionstream量? Lighttpd文档只对httpsstream量提供“redirect”,但我们希望在端口80上完全静默。我们希望lighttpd只在443上监听encryption(https)stream量。 更新[解决方法] 只设置“ server.port = 443 ”没有帮助。 SSLconfiguration是: $SERVER["socket"] == "0.0.0.0:443" { ssl.engine = "enable" ssl.pemfile = "/etc/cert.pem" } 这给了错误。 can't bind to port: 0.0.0.0 443 Address already in use 删除条件SSL完全解决了这个问题,configuration成为: server.port = 443 ssl.engine = "enable" ssl.pemfile = "myweb.pem"
有没有什么办法可以保护任何两个应用程序之间的networking通信,即使两个应用程序都不支持SSL模式? 图: (主机X(应用A))——–不安全的连接—–(主机Y(应用B)) (主机X(应用程序C(应用程序A)))—–安全连接——-(主机Y(应用程序C(应用程序B)))
我的客户没有通过PCI合规性审计。 服务器支持远程桌面(terminal服务),但只提供encryption和不authentication。 这暴露了服务器到中间人攻击。 假设的解决scheme是强制SSL作为RDP的传输层。 有人知道怎么做吗? 服务器运行Windows 2003。