Articles of ssl

我正在研究使用ECDHE-ECDSA，有很多关于为什么（ https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ ）和（ http：// blog例如，.cloudflare.com / ecdsa-the-digital-signature-algorithm-of-a-better-internet ）。 显然，浏览器的支持并不好，但Chrome 30，Windows 8上的Internet Explorer 11，OS X 10.9上的Safari 7以及Firefox 26都支持TLS 1.2。 我已经看过几个CA，只有几个ECDSA（Verisign / Symantec）的签名证书。 我的问题是：如果我获得了ECDSA的证书并在我的密码链中正确回退，那么较旧的浏览器是否可以使用RSA？ 我有这样的感觉，答案是否定的，因为如果你签署了RSA证书，你不能使用ECDSA，但是我想确定之前我排除了ECDHE-ECDSA。 保罗

我有这个configuration SSLCipherSuite AES128+EECDH:AES128+EDH SSLProtocol All -SSLv2 -SSLv3 为Apache 2.4.6，OpenSLL 1.0.2a 并在SSLLab的SSLtest我得到A， 它build议（警告）我有以下密码启用： TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128 TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128 我怎样才能禁用它们？ […]

我有一个完全的根访问，其中承载3个域的Web服务器。 它们位于相同的IP上，并通过运行apache2的VirtualHost文件进行pipe理。 我想向其中的一个添加SSLfunction，即能够通过https://example.com访问同一个站点 我已经尝试了我在网上find的所有东西，但其中大部分都会导致apache根本没有提供任何内容。 我会很高兴有关如何configuration我的系统来支持这一点的任何帮助。 谢谢， 通恰伊

我们使用Nginx作为Rails应用程序的负载平衡器。 由于我们正在转向多路由器托pipe解决scheme，因此我们希望负载均衡器在将请求转发到前端时为每个连接开始使用SSL，因为其中一些可能会通过互联网。 我面临的问题是非https页面创build了一个redirect循环。 这似乎是由于X-Forwarded-Proto头部设置不正确而造成的。 所以当rails在http上获取请求时，它认为这是一个https请求，即使它不是，所以它redirect到http，它认为它是一个https请求等等。 谷歌search量似乎没有帮助我解决这个问题。 所以我想知道： 这是由NGINX支持（我认为是） 我的configuration有问题吗？ 我的方法在概念上有什么问题吗？ 谢谢！ user www-data; worker_processes 2; events { worker_connections 1024; use epoll; } http { passenger_root /opt/ruby-enterprise/lib/ruby/gems/1.8/gems/passenger-3.0.2; passenger_ruby /opt/ruby-enterprise/bin/ruby; passenger_pool_idle_time 0; passenger_max_pool_size 20; # Over all apps passenger_min_instances 5; # Over each app passenger_use_global_queue on; rails_env production; include mime.types; default_type application/octet-stream; log_format main '"$remote_addr", "$remote_user", "$time_local", […]

如果有人能指点我一个工具或方法来从实时HTTPS连接（直接从networking）或networking跟踪文件（pcap文件）中提取SSL / TLS证书，我将不胜感激。 我尝试使用ssldump，但我无法提取证书。 我也可以使用Wireshark（手动），但我想以自动的方式做到这一点。 我为此使用Linux平台。 谢谢 编辑：我想提取的SSL证书比服务器发送到客户端（浏览器）在SSL握手期间。 我想使用networking嗅探器（tcpdump）来捕获networking中的SSL连接，然后从生成的pcap文件中提取证书（或者直播）。

我们正在评估是否购买基于RSA的证书或基于ECC的证书。 RSA较旧，并且受所有浏览器支持。 ECC是新的，他们说这是因为需要较小的密钥，类似的安全等更快。 不幸的是，我找不到哪些浏览器和操作系统支持ECC证书。 你会引导我到主要的浏览器和操作系统（包括移动的）的正确站点或规范网站？

我们有一个可以通过互联网访问的开发服务器，但是IP是受限的，所以这里的安全性只是让我们重现现场环境而不是试图安全的一种方式。 我们称之为dev.com的顶级域名未被使用，但是开发者已经将每个站点设置在他们自己特定的子域中。 假设有site1.com ， site2.com和site3.com ，那么开发者george和nico将拥有完整的url，例如： www.site1.com.george.dev.com www.site2.com.george.dev.com www.site1.com.nico.dev.com 等等 我原本以为通配符自签名证书会做，但后来发现*.dev.com只适用于something.dev.com而不是sub-sub域。 我决定按照这个答案的指示。 当我使用： DNS.1 = www.site2.com.nico.dev.com DNS.2 = www.site1.com.george.dev.com 一切正常，但不幸的是有很多网站的开发人员，所以这里会有超过100个DNS.x条目。 我想知道是否可以在openssl.cnf的[ alternate_names ]部分使用通配符。 我尝试了以下内容： DNS.1 = dev.com DNS.2 = www.site1.com.george.dev.com DNS.3 = *.*.*.nico.dev.com 而DNS.2工作， DNS.3不，给我错误NET::ERR_CERT_COMMON_NAME_INVALID在Chrome中。 有没有办法做到这一点，或者我将不得不生成一个很长的DNS.x条目列表覆盖所有的网站？ 我听说通过创build自己的CA，这将是可能的。 我遵循这个答案的伟大指示。 在我自己的CA完好的情况下，我创build了一个与DNS.1相同的证书，其通用名和DNS.2和DNS.3的通配符如下所示： DNS.1 = dev.com DNS.2 = *.dev.com DNS.3 = *.*.*.*.nico.dev.com 然后，我将cacert.pem从上面链接到的指南的第一步导入到Chrome作为受信任的根证书颁发机构，然后重新启动浏览器。 对于每个域configuration，我分别将SSLCertificateKeyFile和SSLCertificateFile设置为serverkey.pem和SSLCertificateFile ，并testing了几个域： 当进入主域https://dev.com时 ，我看到绿色的挂锁！ 当去一个子域https://www.dev.com时 ，我也看到了绿色的挂锁！ […]

我们正在使用HA-Proxy version 1.5.11 2015/01/31 ，从昨天我们注意到，通过https的所有对我们的服务的请求是非常缓慢的。 从Chrome开发者控制台中，我们可以看到以下时间： Initial Connection 7.59s SSL 6.42s 我们testing了socket的统计信息 # ss -s Total: 2080 (kernel 2088) TCP: 2674 (estab 2141, closed 433, orphaned 84, synrecv 0, timewait 433/0), ports 0 所以它可能远低于65k端口。 以下是我们的haproxy.cfg # Global configuration global log 127.0.0.1 local0 notice maxconn 50000 stats socket /tmp/proxystats level admin tune.ssl.default-dh-param 2048 #user deploy #group […]

我有一个在AWS上运行的Java Web应用程序，并连接到在AWS RDS上运行的MySQL数据库。 我的应用程序使用由我们自己的CA签署的SSL客户端证书连接到各种Web服务，所以我已经设置了-Djavax.net.ssl.keyStore和-Djavax.net.ssl.trustStore系统属性。 我已经将https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem证书添加到我的trustStore ，并且可以通过命令行客户端使用SSL连接到MySQL。 我的MySQL连接string如下所示： jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true 我正在使用mysql:mysql-connector-java:jar:5.1.38来运行JBDC连接。 我发现当我设置trustStore时，我的Java应用程序可以将OK连接到MySQL，但在设置keyStore和trustStore时失败： ! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0 ! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91] ! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91] ! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91] ! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1] ! … 40 common frames omitted 看来Java正在向MySQL提交我的私有CA签名的客户端证书，这是拒绝它的。 […]

我刚更新了Comodo Wildcard SSL证书，并创build了PFX，以便将其安装在Microsoft Azure上的VM上的Windows Server 2012 R2上。 我为我的所有网站使用IIS 8.5，其中包括大约300个主域名的子域名。 所以，主要的领域是例如。 example.com和所有子域名都像customer1.example.com，customer2.example.com等 在我将安装更新的证书后，我将不得不更改所有这些子域的IIS绑定，以指向新的证书。 我找不到手动更改每个绑定的方法。 有没有办法改变所有这些绑定的批量？