我有一个HAProxy / stunnel服务器,可以在AWS上为我们的站点处理SSL。 在testing过程中,我在该服务器上创build了一个自签名证书,并使用Chrome浏览器从我的桌面上点击,以testing该通道是否正常工作。 现在我已经在该服务器上安装了合法的证书。 当我在Chrome中从我的机器上点击该网站时,会引发以下错误: 错误113(net :: ERR_SSL_VERSION_OR_CIPHER_MISMATCH):未知错误。 我的猜测是,Chromecaching了自签名证书的密钥,并且与合法证书的密钥不匹配。 本网站适用于我的机器上的所有其他浏览器,所以这只是一个Chrome的问题。 一个有趣的注意事项:当从隐身会话( Ctrl + Shift + N )中击中页面时,它工作正常。 所以这显然是某种caching的东西。 我做了所有我能想到的事情(甩掉我的caching,从pipe理证书对话框中的个人和其他人页面删除证书, Ctrl + F5等)。 我的机器是Windows 7 x64。 Chrome版本:12.0.742.91。 在Google Chrome浏览器帮助表单中,有关于听起来像是同一个问题的说明 ; 但是,没有find解决办法。 更新:今天似乎已经“固定”了。 我讨厌这样的问题。 我仍然不知道是什么原因造成的,或者它是如何解决的。 据推测,caching的证书到期了,但我仍然有兴趣知道这些信息的存储位置以及如何validation。
我们的信用卡处理器最近通知我们,截至2016年6月30日,我们将需要禁用TLS 1.0以保持PCI标准 。 我试图通过在Windows Server 2008 R2机器上禁用TLS 1.0来主动发现重启后立即发现我完全无法通过远程桌面协议(RDP)连接到它。 经过一番研究,看来RDP只支持TLS 1.0(见这里或这里 ),或者至less不清楚如何通过TLS 1.1或TLS 1.2启用RDP。 有没有人知道在Windows Server 2008 R2上禁用TLS 1.0而不破坏RDP的方法? Microsoft是否计划通过TLS 1.1或TLS 1.2支持RDP? 注意:似乎有办法通过configuration服务器来使用RDP安全层,但禁用networking级身份validation ,这看起来像交易另一个邪恶。 更新1 :微软现在已经解决了这个问题。 有关服务器更新,请参阅下面的答案 。 更新2 :Microsoft发布了有关SQL Server支持PCI DSS 3.1的教程。
我频繁的一个网站最终决定启用TLS到他们的服务器,而不是像在那里的很多网站那样强制它。 维护者声称TLS 必须是可选的。 为什么? 在我自己的网站上,我很早就设置了强制使用TLS和HSTS,弱密码套件也被禁用。 纯文本访问保证被HTTP 301封装到受TLS保护的版本。 这是否会对我的网站造成负面影响?
如何在运行IIS的Windows Server 2012系统上修补CVE-2014-3566 ? 在Windows Update中是否有修补程序,还是必须执行registry更改才能禁用SSL 3.0 ?
我想通过非SSL站点代理来自SSL站点的请求。 我的Apache httpd.conf看起来像这样: <VirtualHost 1.2.3.4:80> ServerName foo.com ProxyPass / https://bar.com/ </VirtualHost> 所以,当我访问http://foo.com时 ,我希望apache向https://bar.com发出请求,并向我发送它提取的页面。 相反,我得到一个500错误,并在错误日志中,我看到: [error] proxy: HTTPS: failed to enable ssl support for 4.3.2.1:443 (bar.com) 大概我在这里错过了一个指令。 这可能是什么? 没关系安全影响。 我完全理解风险。
我无法理解为什么我们需要购买SSL证书,我们可以使用openSSL在本地生成证书。 我购买的证书和我在本地生成的testing证书之间有什么区别? 这只是一个大骗局吗?
最近,Diffie-Hellman中的一个新的漏洞(非正式地被称为“logjam”)已经发布, 本页面已经被整合在一起,提出了如何应对漏洞: 对于正确部署Diffie-Hellman for TLS,我们有三条build议: 禁用导出密码套件。 尽pipe现代浏览器不再支持导出套件,但FREAK和Logjam攻击允许一个中间人攻击者欺骗浏览器使用出口级encryption,之后可以解密TLS连接。 出口密码是1990年代政策的一个残余,它阻止了强大的密码协议从美国出口。 没有现代客户依赖出口套件,并且禁用它们几乎没有什么坏处。 部署(临时)椭圆曲线Diffie-Hellman(ECDHE)。 椭圆曲线Diffie-Hellman(ECDH)密钥交换避免了所有已知的可行的密码分析攻击,现代networking浏览器现在更喜欢ECDHE而不是原始的有限域Diffie-Hellman。 我们用来攻击标准Diffie-Hellman组的离散对数algorithm不像预计算那样强大,并且单个服务器不需要生成唯一的椭圆曲线。 生成强大而独特的Diffie Hellman组 。 数百万个服务器使用了一些固定的组,这使得它们成为预计算和潜在窃听的最佳目标。 pipe理员应该使用每个网站或服务器的“安全”素数生成独特的2048位或更强的Diffie-Hellman组。 根据上述build议,我应该采取哪些最佳实践步骤来保护我的服务器?
如果负载均衡器(例如haproxy)后面有5台Web服务器,并且它们为同一个域提供内容,那么是否需要所有服务器的SSL证书,或者您能否在每台服务器上使用相同的证书? 我知道你可以把所有的SSL请求放在一个特定的服务器上,但这需要分布式的会话信息,并希望它不会这样。
我问这个问题,因为Comodo告诉我,* .example.com的通配符证书也将保护根域example.com。 所以只需一个证书,my.example.com和example.com就可以在没有来自浏览器的警告的情况下得到保护。 但是,我提供的证书并非如此。 我的子域安全性很好,不会给出错误,但根域会在浏览器中抛出一个错误,表示无法validation身份。 当我将这个证书与其他类似的场景进行比较时,我发现在主题备用名称(SAN)列出* .example.com和example.com的情况下,而Comodo最近的证书只列出了*。 example.com作为通用名称,而不是example.com作为主题备用名称。 任何人都可以确认/澄清,根域应列入SAN的细节,如果它也是正确的安全? 当我读到这个: http : //www.digicert.com/subject-alternative-name.htm看来,SAN必须列出这两个为了工作,因为我需要它。 你有什么经验? 非常感谢。
我有一个证书包.crt文件。 做openssl x509 -in bundle.crt -text -noout只显示根证书。 我如何看到所有其他证书?