服务器 Gind.cn

Articles of ssl

是否有任何地方可以获得有效的,经过签名的SSL证书到“本地主机”域进行testing?

是否有任何地方可以获得有效的,经过签名的SSL证书到“本地主机”域进行testing? 有没有人提供这样的东西,我可以在testing中使用的下载? 我知道如何使用openssl与CA签署密钥,但涉及到很多步骤,我希望有一些快捷的方法。 我想要的是一个可以导入到我信任的CA商店中的jar装testingCA,然后是一个附带的具有该CA的证书链的jks密钥库。 所以,这将是一个三步过程,在一个受保护的沙箱内: 1. Get a new distro of Jetty, enable the SSL connector, point it to the localhost.jks keystore 2. Import the CA that signed the localhost cert in the localhost.jks into my web browser 3. Browse to Tomcat on the SSL port , look at the cert and see the cert […]

是否有可能信任Windows中的证书,而不信任其根CA?

是否有可能让Windows信任一个证书,而不需要信任根CA作为受信任的根CA? 说我有以下证书链, Dept-Root-CA Dept-Intermediate-1 Server-Certificate 我想信任服务器证书,但不想相信Dept-Root-CA,因为它可以签署任何证书,我的服务器会信任它。 仅仅因为我愿意相信服务器证书上的证书来进行特定的操作,并不意味着我愿意相信Dept-Root-CA已经得到适当的保护。 谢谢

Apache AB(ApacheBench):-no-check-certificate选项可用?

似乎没有select,以避免此错误:“validation返回码:20(无法获得本地发行者证书)”。 有没有一种方法来避免发行者与AB的SSL检查(如wget的 – 无检查证书选项) 提前致谢

“curl:(56)SSL读取:errno -5961”错误的根本原因

我正在评估一些SSL失败,并注意到,当我使用curl到其中一个失败的站点时,我得到了curl: (56) SSL read: errno -5961 ; 然而,我的谷歌查询该错误没有显示openssl失败的原因。 问题 :当curlcurl失败时,这意味着什么curl: (56) SSL read: errno -5961 ? 我包括下面的完整curl … [mpenning@mpenning-lnx ~]$ curl -vk https://192.0.2.168/ * About to connect() to 192.0.2.168 port 443 (#0) * Trying 192.0.2.168… connected * Connected to 192.0.2.168 (192.0.2.168) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * warning: ignoring value of […]

Apache Bench:SSL握手失败直接与并发级别有关

我在ab上运行了一些testing,当我使用超过155的并发级别时,我得到以下结果: SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). SSL handshake failed (5). Completed 100 requests Completed 200 requests Finished 200 requests 请求仍然成功: Concurrency Level: 200 Time taken for tests: 14.481 […]

最安全的密码与BEAST一起使用? (TLS 1.0漏洞利用)我读过RC4是免疫的

现在,BEAST是公共知识, TLS 1.0不安全 (SSL 3.0也不安全)。 我见过有关RC4密码不受影响的报道(并得到广泛支持)。 真的吗? 我知道TLS 1.1是免疫的。 但在1,000,000个最受欢迎的SSL / TLS网站中,只有less数(221)支持TLS 1.1或更高版本。 这个漏洞只限于浏览器,因为它需要通过MITM的JavaScript或浏览器插件。 在撰写本文时,PayPal.com很脆弱。

Apache如何解释多个SSLRandomSeed来源

在我的Apacheconfiguration中,我有这些行: SSLRandomSeed connect builtin SSLRandomSeed connect file:/dev/random SSLRandomSeed connect file:/dev/urandom 1024 Apache究竟如何解释这一点? 它是否首先尝试内置,然后移动到/dev/random如果失败? 如果它使用/dev/random ,并且/dev/random然后用完熵,它会自动切换到/dev/urandom ? 有没有解释这一切的Apache文档?

Nginx在使用https访问时从错误的“虚拟主机”提供内容

我有一台服务器在代理设置中同时运行Nginx和Apache,Nginx为静态内容和Apache提供了非常好的dynamic内容。 这个设置目前正在托pipe同一个网站的两个版本,可以称之为production.com和staging.com。 我刚刚完成了使用SSL的production.com网站的设置,但也发现,如果我使用SSL浏览到staging.com,则会获得production.com网站根目录的内容,这显然是错误的。 我被告知使用SSL和非SSL的默认处理程序,这将消除这种行为,但这是我有麻烦的地方。 现在我有这个configuration包含在nginx.conf default_80.conf server { listen 80; server_name ""; return 444; } default_443.conf server { listen 443 default_server ssl; server_name ""; return 444; } staging.com.conf server { listen 80; server_name staging.com; access_log /var/log/nginx/staging.com.log; # static content folders location ^~ /(images|css|js) { root /var/www/staging.com/current; access_log /var/log/nginx/staging.com.static.log; } # static content files location ~* […]

OpenSSL:如何使用交互式请求的主题替代名称(SAN)生成CSR?

我希望configurationOpenSSL,以便在运行openssl req -new生成新的证书签名请求时,系统会提示我在CSR上包含任何可选主题名称。 我已经将这行添加到了我的openssl.cnf的[req_attributes]部分: subjectAltName = Alternative subject names 这产生了所需的效果,现在我在生成CSR时提示您使用SAN: $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite […]

在Chrome中是否可以禁用证书透明(证书审查)证书?

我们通过Windows证书存储中的可信根证书,在我们的防火墙中使用HTTPS深度数据包检测。 Chrome最近推出了一项function,对证书颁发执行额外的检查,称为“证书透明度”,其中使用的每个证书(在特定date之后发布)都与已知的CA良好列表进行核对。 现在,使用HTTPS深度包检测(又名HTTPS代理/卸载/ MiTM)会导致Chrome按照此示例发生错误。 是否可以在Chrome中禁用审核日志检查的唯一function? 更新回应womble的答案 。 此更新是错误的。 Womble的回答是正确的,见下文。 这是我原先想的,但显然不是。 这里是过分正义的Chrome的屏幕截图: 没有MiTM: 中间人: 它似乎确实与证书透明度/审计日志检查直接相关,而不是在保姆Chrome中使用SHA-1和即将到来的折旧 。 值得注意的是,我们的内部CA证书在2017年之后到期。 更新2,womble是对的: 感谢womble的回答,我重新审查了Chrome团队发出的通知 ,发现任何使用SHA-1的2017+authentication站点都会得到“肯定不安全”的警告(划掉的红色锁图标)。 为了certificate我的MiTM /代理人是罪魁祸首,我使用了一个salesforcetesting网站 (通过避免KB文章 ) 没有MiTM: 中间人: *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+. […]
Intereting Posts
任何有关亚马逊弹性计算云(亚马逊EC2)的评论? 在Nginx中根据请求的url文件扩展名有条件地提供404文件? 为什么我只能在Solaris和VMware之间获得1Gbps? 如何在一台Linux机器上同步/ var / foo /与另一台机器上的相同文件夹? 如何从ElasticSearch索引MySQL pfSense多站点到站点VPN与openvpn 带有validation的Danted袜子代理 任务被阻塞超过120秒 公开您的SSH known_hosts文件是否存在安全风险? 控制台安装不configuration Amazon EC2:如何将现有PV AM转换为HVM – CentOS – 无法启动 在Apache上安装SSL证书…什么证书使用? 服务帐户的HKEY_USERS条目 访问Outlook Web Access时出现安全错误“您的连接不是私人的” 带有EnGenius ESB300的Sonicwall TZ205作为访客无线接入点,需要保持networking分离