最近发现的心软的漏洞已经促使证书颁发机构重新颁发证书。 我有两个在发现心脏病漏洞之前生成的证书。 在SSL发行者告诉我重新生成证书后,我用新的证书更新了我的服务器/域。 如果我的理解是正确的,那么旧证书应该已经被CA吊销,并且应该已经到达CRL(证书吊销列表)或OCSP数据库(在线证书状态协议),否则在技术上可能有人执行“中间人攻击“,通过从受损证书中获取的信息重新生成证书。 有没有一种方法来检查我的旧证书是否已经将其添加到CRL和OCSP中。 如果他们没有,有办法让他们包括在内? 更新:情况是,我已经取代了我的证书,我所有的是旧证书的.crt文件,所以使用URL来检查是不是真的可能。
我已经使用相同的通配符SSL证书在IIS8上设置了几个网站。 有些网站需要访问较旧的浏览器和操作系统,因此我不能使用“要求服务器名称指示”选项。 由于所有设备都不支持SNI,因此IIS将显示以下警报: “没有默认的SSL站点已经创build,为了支持没有SNIfunction的浏览器,build议创build一个默认的SSL站点。 我如何创build一个默认的SSL站点? 我发现的最接近的文章不是很清楚,我觉得必须有一个更简单的解决scheme。 服务器详细信息: Windows Server 2012,IIS8,一个外部IP地址
我有Apache 2.2与mod_ssl和HTTPS在与VirtualHosting相同的IP /端口的一堆网站,所以客户端必须支持SNI连接到这些虚拟主机。 我想用以下方式configuration我的服务器: 当用户键入www.dummysite.com并且他的浏览器支持 SNI(服务器名称指示)时,任何HTTP请求都被redirect到发送HSTS报头的地址https:// 。 但是,如果浏览器不支持 SNI,那么请求将由HTTP服务。 上述规则说明,对于那些仍然运行旧浏览器的用户来说实际上是一个后备规则,因为Mozilla和Chrome浏览器没有这个问题,只是为了避免这些用户离开网站。 我想在Apacheconfiguration级别redirect,也许在用户代理上使用filter。 我不想接触正在运行的应用程序,除非确保不存在直接的http://引用(否则它们意味着安全警告) [编辑](编辑问题时,我忘了问题):什么是启用SNI的用户代理redirect的列表?
我如何设置Nginx的conf文件来强制SSL在我的网站上的其中一个path和所有其余的SSL? 例如,我希望/ user下的所有URL都是https,但是其余所有URL都是http。 对于第一部分我有: rewrite ^/user(.*) https://$http_host$request_uri?; 我不想用“如果”。 我认为它会利用操作的顺序,但我不想最终在一个循环。
我已经从StartSSL申请了一个新的Class 1服务器证书,并且它与Apache和Dovecot +(Thunderbird / Outlook / OpenXChange)一起使用,但是当我尝试使用Apple客户端(Mac / iPhone)连接到邮件服务器时,我收到一条SSL错误消息。 我已经链接了 2_服务器证书 1_中间证书 根证书 按照这个顺序,并使用生成的文件作为dovecot中的ssl_cert。 我唯一的另外两个SSL设置是ssl=required和ssl_key = </path 有没有人有这个问题,并提出了一个解决scheme?
我已经写了一个小程序,运行在Windows计算机上,通过端口443向访问Web浏览器提供SSL / TLS网页。 我希望非技术人员可以轻松安装和运行此程序。 我已经很容易在程序中创build自签名证书或证书签名请求,但是我认为他们将很难获得CSR签名并连接到指向其服务器的域名。 我想把这个过程的技术难度降到最低。 我可以购买可以为我的域名的子域名签署证书的SSL证书吗? 像customer1.mydomain.com,customer2.mydomain.com等东西,然后我可以指向我的DNS子域在他们的服务器,并签署他们的证书,并自动化整个过程。 或者,这可能会非常昂贵? 如果没有,除了在我自己的服务器上用* .mydomain.com证书托pipe所有的Web应用程序,我可以给他们设置SSL证书和域名的最简单的解决scheme是什么?
对于那些不知道Suche.org是什么的人来说,它是一个网站,在每个类别的SSL实验室都有一个完美的A +评分:( Suche.org SSL实验室结果 )。 当我打开另一张关于不在Chrome中工作的ECC证书的票据时,我开始意识到这个网站,其中一名响应者以该网站为例。 我感到困惑的是,虽然报告的Protocol Support部分说,该网站只使用TLSv1.2 … TLS 1.2 Yes TLS 1.1 No TLS 1.0 No SSL 3 No SSL 2 No 这显然不是这样,因为在Handshake Simulation部分,它显示,一些模拟的老客户端正在使用TLSv1.0来连接… Android 4.0.4 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS Android 4.1.1 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS Android 4.2.2 EC 384 (SHA256) TLS 1.0 […]
我在Amazon Load Balancer上安装了私钥(pem编码)和公钥证书(pem编码)。 但是,当我使用网站testing工具检查SSL时,出现以下错误: 检查SSL证书时出错! 无法获得证书的本地发行者。 本地查询证书的发行人无法find。 通常这表示并不是所有的中间证书都安装在服务器上。 我使用本教程中的这些命令将crt文件转换为pem: openssl x509 -in input.crt -out input.der -outform DER openssl x509 -in input.der -inform DER -out output.pem -outform PEM 在设置Amazon负载均衡器的过程中,我遗漏的唯一选项是证书链。 (pem编码)但是,这是可选的。 这可能是我的问题的原因? 如果是这样, 我如何创build证书链? UPDATE 如果您向VeriSign发出请求,他们会给您一个证书链。 这个链包括公共crt,中间crt和根crt。 确保在将证书链添加到您的Amazon负载均衡器的证书链中之前,从您的证书链(这是最高证书)中删除公共证书。 如果您正在从Android应用程序发出HTTPS请求,那么上述说明可能不适用于较旧的Android操作系统,如2.1和2.2。 为了使它在较旧的Android操作系统上工作: 到这里 点击“零售SSL”选项卡,然后点击“安全站点”>“CA服务器的Apache套件” 复制并通过这些中级证书到证书链框中。 如果你没有在这里find它,直接链接 。 如果您使用的是地理信任证书,那么解决scheme与Android设备大致相同,但是,您需要复制并粘贴适用于Android的中间证书。
我需要在Apache上设置我的VirtualHost服务于http和https(使用标准端口) 如果我启用SSL引擎(如下所示) – 在端口80上出现错误。 原因是,部分站点需要SSL,但其他部分则不需要。 我怎么能在网站上同时服务http + https? 这是我的虚拟主机文件…. NameVirtualHost * <VirtualHost *> ServerAdmin webmaster@localhost ServerName mysite.co.uk DocumentRoot /var/www/mysite/public <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/mysite/public> Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from […]
我正在尝试设置logstash转发器,但在创build适当的安全通道方面存在问题。 尝试使用两个在virtualbox中运行的ubuntu(服务器14.04)机器进行configuration。 他们是100%干净(没有触及主机文件或安装除了所需的java,ngix,elastisearch等用于logstash的其他软件包) 我不认为这是一个logstash问题,但是在logstash ubuntu或转发器机器上不正确的处理证书或者没有设置正确的。 我生成的密钥: sudo openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt 我在logstash服务器上的inputconf: input { lumberjack { port => 5000 type => "logs" ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt" ssl_key => "/etc/pki/tls/private/logstash-forwarder.key" } } 密钥被复制到具有以下configuration的转发主机 。 { "network": { "servers": [ "192.168.2.107:5000" ], "timeout": 15, "ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt" "ssl key": "/etc/pki/tls/certs/logstash-forwarder.key" }, […]