OpenSSL刚刚宣布了内存例程中的另一个新漏洞。 您可以在这里阅读所有内容: https : //www.openssl.org/news/secadv_20141015.txt 解决方法是禁用SSLv3。 这将完全禁用我们网站上的HTTPS? 还有什么客户依赖SSLv3,应该关心支持他们吗?
我的域名bytecode77.com( 分析 )正在使用RapidSSL证书。 Firefox不信任那个,所以我安装了一个CA证书。 我用下面的一个。 我把它放在/usr/local/share/ca-certificates/ca.crt ,我运行了update-ca-certificates 。 然后我重新启动apache。 但是Firefox仍然不相信证书。 这里怎么了? 我vHost <VirtualHost *:443> ServerName bytecode77.com DocumentRoot /var/www/bytecode77/html SSLEngine on SSLCertificateFile /var/www/bytecode77/root/bytecode77.com.crt SSLCertificateKeyFile /var/www/bytecode77/root/bytecode77.com.key </VirtualHost> CA证书 —–BEGIN CERTIFICATE—– MIIEJTCCAw2gAwIBAgIDAjp3MA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i YWwgQ0EwHhcNMTQwODI5MjEzOTMyWhcNMjIwNTIwMjEzOTMyWjBHMQswCQYDVQQG EwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEgMB4GA1UEAxMXUmFwaWRTU0wg U0hBMjU2IENBIC0gRzMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCv VJvZWF0eLFbG1eh/9H0WA//Qi1rkjqfdVC7UBMBdmJyNkA+8EGVf2prWRHzAn7Xp SowLBkMEu/SW4ib2YQGRZjEiwzQ0Xz8/kS9EX9zHFLYDn4ZLDqP/oIACg8PTH2lS 1p1kD8mD5xvEcKyU58Okaiy9uJ5p2L4KjxZjWmhxgHsw3hUEv8zTvz5IBVV6s9cQ DAP8m/0Ip4yM26eO8R5j3LMBL3+vV8M8SKeDaCGnL+enP/C1DPz1hNFTvA5yT2AM QriYrRmIV9cE7Ie/fodOoyH5U/02mEiN1vi7SPIpyGTRzFRIU4uvt2UevykzKdkp YEj4/5G8V1jlNS67abZZAgMBAAGjggEdMIIBGTAfBgNVHSMEGDAWgBTAephojYn7 qwVkDBF9qn1luMrMTjAdBgNVHQ4EFgQUw5zz/NNGCDS7zkZ/oHxb8+IIy1kwEgYD VR0TAQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAQYwNQYDVR0fBC4wLDAqoCig JoYkaHR0cDovL2cuc3ltY2IuY29tL2NybHMvZ3RnbG9iYWwuY3JsMC4GCCsGAQUF BwEBBCIwIDAeBggrBgEFBQcwAYYSaHR0cDovL2cuc3ltY2QuY29tMEwGA1UdIARF MEMwQQYKYIZIAYb4RQEHNjAzMDEGCCsGAQUFBwIBFiVodHRwOi8vd3d3Lmdlb3Ry dXN0LmNvbS9yZXNvdXJjZXMvY3BzMA0GCSqGSIb3DQEBCwUAA4IBAQCjWB7GQzKs rC+TeLfqrlRARy1+eI1Q9vhmrNZPc9ZE768LzFvB9E+aj0l+YK/CJ8cW8fuTgZCp fO9vfm5FlBaEvexJ8cQO9K8EWYOHDyw7l8NaEpt7BDV7o5UzCHuTcSJCs6nZb0+B kvwHtnm8hEqddwnxxYny8LScVKoSew26T++TGezvfU5ho452nFnPjJSxhJf3GrkH uLLGTxN5279PURt/aQ1RKsHWFf83UTRlUfQevjhq7A6rvz17OQV79PP7GqHQyH5O ZI3NjGFVkP46yl0lD/gdo0p0Vk8aVUBwdSWmMy66S6VdU5oNMOGNX2Esr8zvsJmh gP8L8mJMcCaY —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– […]
我的Win7盒子上的证书存储是不断悬挂的。 注意: C:\> 1.cmd C:\> certutil – ? | findstr /我平 -ping – Ping Active Directory证书服务请求界面 -pingadmin – Ping Active Directory证书服务pipe理界面 C:\>设置PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-ping命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadmin命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:05:28.79)> set PROMPT = $ P $ G C:\> 说明: 第一个命令显示了certutil的–pingadmin和–pingadmin参数 尝试任何ping参数失败,30秒超时(在提示中看到当前时间) 这是一个严重的问题。 它在我的应用程序中将所有的安全通信都locking 如果有人知道如何解决这个问题,请分享。 谢谢。 PS 1.cmd只是这些命令的一批: […]
我的托pipe服务提供商最近重新发布并为我的域重新安装了一个SSL证书 ,之后他们让旧的证书失效。 我现在可以通过HTTPS再次浏览网站 ,我的主机也是如此,其他许多用户也是如此。 但是, 有些用户(至less有十几十个用户)仍然得到Your connection is not secure错误消息在不同的浏览器和平台上。 (诊断我无法复制的问题certificate是困难的。) 我知道不同的浏览器使用不同的证书颁发机构(CA)列表 为什么运行与我相同版本的Firefox的用户(OS X上的SEC_ERROR_UNKNOWN_ISSUER )如何得到SEC_ERROR_UNKNOWN_ISSUER错误(仅适用于我的网站)而我不是? 是什么使它成为可能? 所述用户清除了他的caching并重启了他的笔记本电脑 我在digicert.com上运行了一个SSL检查 。 结果是这样的: SSL证书不受信任 证书不是由受信任的权威人士签名(检查Mozilla的根存储)。 如果您从可信机构购买了证书,则可能只需要安装一个或多个中间证书。 请联系您的证书提供商以获得有关为您的服务器平台执 如果出现SSL错误,我怎么能够连接到站点?
由于我想在我的SSL证书中设置“必须主要”属性,所以我正在做一些研究,以确定我的所有服务是否支持OCSP装订。 到目前为止,我发现Apache能够使用SSLLabs.com进行确认。 但除此之外,我无法确认,如果我的两个其他服务(SMTP和IMAP)也支持OCSP订书机。 现在我的问题是,Postfix和Dovecot也支持它吗? PS:我知道证书在邮件传输方面看起来并不重要,但是我想避免任何可能的问题,如果我添加了这个属性,客户端可能会因此而拒绝工作,而其他人可能会从中受益。
我在Windows XP上设置了一个stunnel服务器,当客户端试图访问时,我得到这个错误: 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 00:02:16 LOG7[8848:9792]: SSL alert (write): fatal: handshake […]
问题:由于iOS 9现在使用ATS,因此我们的移动应用程序无法再与我们的networking服务build立安全连接。 背景: iOS 9引入了应用程序传输安全性 服务器设置: Windows Server 2008 R2 SP1(VM)IIS 7.5,来自digicert的SSL证书。 Windows防火墙closures。 密钥RSA 2048位(e 65537) 发行商DigiCert SHA2安全服务器CA 签名algorithmSHA512withRSA 这些是应用程序传输安全性要求: 服务器必须至less支持传输层安全(TLS)协议版本1.2。 连接密码仅限于提供前向保密的密码(请参阅下面的密码列表)。必须使用SHA256或更好的签名散列algorithm对证书进行签名,并使用2048位或更大的RSA密钥或256位或更大的椭圆曲线(ECC)密钥。 无效的证书导致硬故障并且没有连接。 这些是公认的密码: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 曾经尝试过的: 在移动应用程序中添加例外以允许我们的域名可行,但我不想使用这种不安全的方法,我想修复我们的SSL。 使用IIS Crypto使用“最佳实践”,尝试“pci”和自定义设置。 甚至尝试修改encryption套件,只是上面的列表,并重新sorting。 每次尝试后,服务器都会重新启动,并且运行SSL Labs (清除caching后)。 我从F级到A级,甚至A-级都成功了,但这只能导致iOS 8和9无法build立安全连接。 (NSURLErrorDomain代码= -1200和_kCFStreamErrorCodeKey = -9806) 恢复虚拟机,并尝试了一个PowerShell脚本设置您的IIS SSL完美转发保密和TLS 1.2我甚至做了第二次尝试,我从电源脚本编辑出cyphers到最小的需求清单。 结果:总是相似的,评分A或A-。 iOS8和iOS9无法协商安全连接。 握手仿真导致Safari和iOS产品的“协议或密码套件不匹配”。 […]
我们已经在Ubuntu Trusty上运行了nginx。 它通过https服务于多个网站,在一个IP地址上运行。 随机地,虽然它似乎与工作负载稍有关系,有时单个请求出现在错误的虚拟主机上。 这导致请求lustrum.thalia.nu由thalia.nu服务,反之亦然。 然后,这会产生令人讨厌的错误页面,因为用户突然终结于不同的网站。 当你按下F5时 ,用户再次结束原来的目标。 它似乎没有浏览器或操作系统相关。 已经确认在Firefox(Linux,Windows,Mac),Edge(Windows)和Chrome(Linux,Windows,Android)和Safari(iOS)上发生。 当系统处于负载状态时,问题似乎更频繁地发生,这表明某种竞争条件。 lustrum.thalia.nu server { server_name lustrum.thalia.nu; listen 443 ssl; ssl on; ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt; ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key; add_header Strict-Transport-Security "max-age=63072000; preload"; root /var/www/thalia-lustrum/public_html; location / { index index.php; try_files $uri $uri/ /index.php?$args; } # Add trailing slash to */wp-admin requests. rewrite /wp-admin$ $scheme://$host$uri/ permanent; # Pass all […]
我使用以下脚本为MySQLconfiguration了SSL。 #!/bin/bash # mkdir -p /root/abc/ssl_certs cd /root/abc/ssl_certs # echo "–> 1. Create CA cert, private key" openssl genrsa 2048 > ca-key.pem echo "–> 2. Create CA cert, certificate" openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem echo "–> 3. Create Server certificate, key" openssl req -newkey rsa:2048 -days 1000 -nodes -keyout […]
客户端只有www.site.com版本的域名才具有SSL证书,而不是site.com。 通过mod_rewriteredirect常规的HTTP不是问题。 但是,这种方法似乎失败了我们的HTTPS。 我们希望将https://site.com请求redirect到https://www.site.com 。 可以这样做,而不会引发浏览器中的无效证书警告,或获得通配符证书?