场景: 我有2个域名: thinkingmonkey.me和thinkingmonkey.com 。 整个网站是通过https访问。 从通用名为thinkingmonkey.me的CA购买证书。 对于http : www.thinkingmonkey.com , thinkingmonkey.com和www.thinkingmonkey.me有一个虚拟主机,并使用_mod_rewrite_规则redirect到https://thinkingmonkey.me 。 thinkingmonkey.me有其独立的虚拟主机。 一切工作正常。 https : 即www.thinkingmonkey.com , thinkingmonkey.com和www.thinkingmonkey.com有一个虚拟主机,并使用_mod_rewrite_规则redirect到https://thinkingmonkey.me 。 thinkingmonkey.me有其独立的虚拟主机。 问题 现在,如果https://www.thinkingmonkey.com或https://thinkingmonkey.com被访问, 在mod_rewrite执行https://thinkingmonkey.me重写之前, mod_ssl会发生作用,并且发生TLS握手。 由于证书中的通用名称是在thinkingmonkey.me中 , 因此此连接是不受信任的警告在浏览器中显示。 除非我通过接受证书完成握手,否则不会被redirect到thinkingmonkey.me 。 这是非常烦人的。 所以, 有没有办法在mod_ssl之前访问mod_rewrite ? 要么 我必须购买一个单独的证书来摆脱这个?
我已经创build了一个可移植的(相对path)Apache安装。 它在我的32位系统上完美工作,但是当我尝试在64位系统上运行它时,会出现以下错误: >httpd -t httpd: Syntax error on line … of …/httpd.conf: Cannot load …/modules/mod_ssl.so into server: %1 is not a valid Win32 application. 如果我注释掉包含SSL.conf的行,那么服务器在64位系统上运行,但是当然没有SSL支持。 我试图寻找这个,但找不到任何有用的东西。 有谁知道如何让Apache在64位系统上使用SSL(最好是以一种与32位系统兼容的方式)?
我有一个与大多数情况相反的用例:我想以性能的名义实现非常弱的SSL密码,如果客户端请求,可以select回到更强的密码。 Backstory:我有一个面向公众的Web服务器,它接收来自数千个远程客户端的大量POSTstream量,每个POST都相当小。 客户端将有效载荷一次,并断开连接。 服务器每分钟需要上千个这样的连接,所以SSL协商的开销增加了。 有问题的数据不需要是安全的; 使用HTTPS的原因是因为stream量来自给定网站上的JavaScript标记,如果该网站使用的是HTTPS,则我们的补充stream量必须使用HTTPS以防止混合安全和不安全内容的警告。 同样,即使“父”站点由于某种原因被SSL保护,这个连接中数据的安全性也不重要。 因此,在保持与浏览器完全兼容的同时,向客户端呈现最弱的密码是有意义的。 如果有要求,我还想提供增加安全性的全面ECDHE选项,只是为了满足更多的安全意识的客户,但是绝对是第二select。 几年前,RC4的一些变种可能适合这个法案,但是由于今天这个版本被普遍认为是不安全的,所以我担心浏览器兼容性可能成为一个问题。 在这之后 – 什么密码会以最快的速度为我提供上面我要找的function?
我们正试图在众多的Windows服务器上禁用SSL V3; 作为其中的一部分,注册pipe理机构正在通过脚本进行远程更新。 问题是registry更改后需要大量重新启动。 有没有办法绕过它,服务器可以重新启动服务器不再接受SSL V3后,registry更改? 编辑:稍微澄清,这是关于“SSL V3服务器”禁用; 在Windows 2012 R2服务器上。
我试图确保一个子域名: bitbucket.kl.company.com 该证书用于* .company.com。 所以我得到一个错误: bitbucket.kl.company.com uses an invalid security certificate. The certificate is only valid for the following names: *.company.com, company.com, bitbucket-mirror.company.com Error code: SSL_ERROR_BAD_CERT_DOMAIN 令人费解的是,有些浏览器不会抱怨,并按预期加载页面。 我的证书错了吗? 我能否专门为bitbucket.kl.company.com订购证书,而不是使用* .company.com?
在Windows Server 2008 R2上,我可以通过执行以下命令来为网站实施128位SSL: appcmd set config "Default Web Site" -section:access -sslFlags:Ssl,Ssl128 -commit:apphost 这有什么缺点吗? 有没有理由不这样做,或有充分的理由总是这样做?
在openSSL之后,我们服务器上的所有SSH证书都被重新发布并重新安装。 由于很可能我们在服务器上丢失了某些东西(例如,重新启动Apache),因此我们正在通过单击Chrome中的密钥徽标来手动检查服务器: 这是缓慢和容易出错的。 是否有一个命令行工具可以从服务器获取证书ID /序列号? 更新 我最终使用了MichelZ的答案变化: echo "" | openssl s_client -showcerts -status -verify 0 \ -connect www.mydomain.com:443 2>&1 | \ egrep "Verify return|subject=/serial" echo需要openssl退出(否则等待input)。 validation-verify 0validation证书。 2>&1将标准错误redirect到标准输出 egrep只显示validation状态和序列号。
我们最近改变了我们的nginxconfiguration,以支持TLSv1.2以及一些更安全的密码。 自更改以来,我们的nginx错误日志已填充以下错误: 2015/01/28 23:55:57 [crit] 16898#0:* 18712916 SSL握手,客户端:SSL_do_handshake()失败(SSL:错误:140A1175:SSL例程:SSL_BYTES_TO_CIPHER_LIST:不适当的回退) 。 。 。 ,服务器:0.0.0.0:443 我们的nginxconfiguration如下: server { root /var/www/fl/current/public; listen 443; ssl on; ssl_certificate /etc/nginx/ssl/wildcard.pem; ssl_certificate_key /etc/nginx/ssl/wildcard.key; ssl_session_timeout 5m; ssl_session_cache shared:SSL:50m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_server_ciphers on; 我们收到了一些关于用户无法访问该网站的电子邮件。 一位用户表示这是他们在Firefox中遇到的错误: 安全连接失败 在与******.com连接期间发生错误。 服务器拒绝握手,因为客户端降级到比服务器支持的更低的TLS版本。 (错误代码:ssl_error_inappropriate_fallback_alert) 您尝试查看的页面无法显示,因为收到的数据的真实性无法validation。 如果我理解正确,那么当客户端使用比它和服务器支持的更低版本的TLS时,回退警报是一种安全防范措施。 考虑到我们现在支持更高的协议版本,这个错误似乎很有意义。 我不明白的是,为什么当连接到我们的网站时,这个改变会导致一些用户的问题。 这是我们的configuration或浏览器中的错误吗? 我们现在在Qualys SSL服务器testing中得到一个“A”,所以我犹豫回到我们的旧configuration。
我正在一个AWS实例上托pipe多个域。 这些域都共享相同的底层代码库,但我们在各个域上提供“白标签”服务。 每个域(foo.com,bar.com,baz.com)都将拥有自己的SSL证书。 我已经做了一些研究,看起来是否有冲突(大多是过时的),是否需要为每个SSL证书指定一个专用的IP地址。 我需要每个SSL证书的专用IP地址吗?
我有一个网站在IIS下运行,其中应用了SSL证书。 我们希望通过检查“需要安全通道”框来轻松实现网站的HTTPS使用,但这会立即破坏人们通过HTTP连接(按devise)的能力。 我想要做的是find一种方法来自动从HTTPredirect人 – > HTTPS,如果他们input错误的东西(或从旧书签连接)。 有没有办法做到这一点,而无需在IIS中创build第二个网站?