访问我们的Web服务器的第三方Web工具似乎使用Java 6,它不支持DH参数> 1024位。 它不能连接到我们的服务器,因为我们有一个dhparams文件设置为4096位。 在Nginx中,dhparams文件使用ssl_dhparam参数在nginx.conf设置。 据推测,如果我们重新生成1024位dhparams.pem文件,这将削弱每个人的安全。 有没有办法让这个旧的客户端连接1024位dhparams,而为其他人使用4096? 更麻烦的是,Java 6似乎没有SNI支持。 有处理这种情况的好方法吗?
在调查一个影响同时受到影响的代理集群的问题时,我发现在build立SSL连接时存在奇怪的行为。 现象的症状是,当出现冲击时,传出的HTTPS请求比平常要慢,我已经把它放慢了,以便完成SSL握手。 HTTP请求/连接不会以相同的方式受到影响。 这个问题似乎是由于TCP三次握手结束和代理发送Client Hello之间的延迟而导致的出站连接。 之后,握手正常完成,没有延迟。 以下是来自stream量捕获的一些示例: to api.twitter.com (延迟2.4秒): 到graph.facebook.com (延迟28.4秒): 即使在第二个例子中重传, Client Hello包也不应该花那么长时间才能出去。 一些事实/考虑: 这个问题在一天中的特定时间(大约1000小时和1700小时)暂时出现,影响所有主机并在30分钟内消失。 以后,同时 这将表明一个外部原因(networking,也许),但tcpdump输出似乎把责任放在本地服务器 CPU,负载,内存和其他所有监视的性能指标都是正常的 它会影响所有的SSL远程主机 影响连接随机,一些行为正常,但很多是非常缓慢的 吞吐量(握手后)似乎没有受到影响 一旦问题通过,SSL连接到相同的远程主机一直很快 testing用curl和openssl s_client connect ,结果相同 需要澄清的是: 这可能是什么原因造成了这样的拖延? Wirehark可以欺骗我吗? 还有什么其他的性能指标/统计/命令可以用来进一步排查延误的原因? 是否有任何networking因素(MTU,接收缓冲区,碎片),可以certificate这种行为? 我如何find证据来澄清是否是我的服务器外部的networking问题? 软件版本 : 红帽企业Linux服务器版本5.11(Tikanga) OpenSSL 0.9.8e-fips-rhel5 2008年7月1日 kernel 2.6.18-416.el5#1 SMP Wed Oct 26 12:04:18 EDT 2016 x86_64 x86_64 x86_64 GNU / Linux […]
我有一个当前.COM网站,它使用托pipe公司提供的SSL。 URL示例是https://domain.sansolo.com/shop/paymentform.asp其中'sansolo'代表提供的SSL。 我将很快为同一个域启动一个新的网站,并需要准备启动SSL准备。 我可以将域名添加到新购买的SSL证书,并将其应用到新网站,在其新的托pipe中,而不会导致与当前网站的任何问题? 一旦启动域名将指向新的网站; 所以这将是一个临时安排。 编辑:目前的网站有.COM,新的网站在线与.NET; 在启动时,我会将.COM指向新的托pipe。 所以这个SSL问题是关于准备新网站准备启动SSL。 谢谢
我试着用TLS1.3configurationnginx 1.11.12,但每次失败。 你能解释我如何使用nginx 1.11.12和openssl 1.1.0e?
我们最近做了registry更改,迫使我们的系统只使用TLS 1.1和1.2,并禁用任何TLS 1.0和更低版本。 除了TFS 2013之外,我们大部分的服务都没有问题,我找不到解决scheme。 Web应用程序通过https可用,但开发人员正在从Visual Studio 2017中签入问题。构build尝试进入队列,然后在运行几分钟后失败。 更奇怪的是我也有TFSpipe理控制台问题。 即使Web应用程序在pipe理控制台中可用,我也会收到错误,无法在“更改URL”下打开“组成员身份”,“pipe理安全性”或testingURL。 服务器证书和IIS绑定都configuration正确的TLS 1.1 +(正如我所说的,Web应用程序是可访问的),我敢肯定registry更改启用TLS 1.1+和禁用所有其他人是原因,因为回滚更改删除了所有问题。 任何人都知道这里发生了什么,以及如何解决这个问题?
这是我第一次在这里问一些事情。 无论如何,我有这个问题,并已经戳了几个星期了。 我们使用一个网站,是Drupal和Wordpress的网站托pipe和pipe理公司。 我们有这个网站的两个自定义域,一个是基本域example.com和www.example.com的一个子域。 他们告诉我们添加一个CNAME,将其从默认域= live-example.magazine.ioredirect到内部DNS服务器的www.example.com。 我们这样做,它正在工作良好的连接是伟大的,每个人都可以访问。 这是问题出现的地方,我的老板在这些域名上打开了HTTPS实时环境,现在我们遇到了证书问题。 来自我们networking之外的客户可以访问网站,并在网站上显示正确的证书。 每当有人从我们的networking内部尝试去www.example.com它给了我们一个SSL_ERROR_BAD_CERT_DOMAIN错误,我们必须确认一个例外,让人们进入。 我比较了这两个证书,应该显示出来并被我们networking外的人看到的正确证书是一个云证书。 内部显示的证书是带有* .magazine.io通配符掩码的DigiCert SHA2安全服务器CA证书 我明白,它试图寻找云证书,但* .magazine.io是以某种方式阻止它到达它。 我的老板更新了www.example.com网站的证书。 我谈到支持这个,他们一直在说Digicert证书卡在我们的networking上,这是有道理的,因为它只是在我们有问题的内部,但我已经看了我们的DNS服务器的authentication数据存储和Digicert证书确实显示出来,但我删除了它们,并刷新了DNS,但似乎没有工作。 所以我的问题是你们认为这是卡在我的networking上的东西,如果是这样,它会卡在哪里(到目前为止还没有find运气),或者你认为可能是坏的证书附加到默认域他们给了我们,并告诉我们为它添加一个cnamelogging。 另外,当我打开一个网页浏览器,并inputURL https://live-example.magazine.io它不会给我一个安全错误,锁变成绿色,但这是因为通配符证书的名称*杂志.io,所以它显示了很好,但是当我把www.example.com它不给我正确的更新证书。 无论如何,如果你之前有这个问题,或者如果你有什么可能是任何input的想法真的会被赞赏我这种卡在这个问题在这里。 谢谢,
在亚马逊Linux上的Apache 2.4(大概相当于RH 7,我想),与各种版本的PHP。 当启用SSL时,我遇到了一个问题,试图让PHP CGI脚本在我的Web服务器上运行。 例如: http://52.example.com/phpinfo.php 给出正确的输出,但是当我启用SSL(即https://52.example.com ),我得到一个404错误: The requested URL /php-fcgi/php-cgi-5.2.17/phpinfo.php was not found on this server. 以下是我的/ var / www / vhosts目录中的52.conf文件的内容: <VirtualHost *:443> ServerName 52.example.com DocumentRoot /var/www/vhosts/52 <Directory "/var/www/vhosts/52/"> AddHandler php-cgi .php Action php-cgi /php-fcgi/php-cgi-5.2.17 <FilesMatch "\.php$"> Options ExecCGI SetHandler php-cgi </FilesMatch> </Directory> 其中site.conf是一个虚拟主机定义。 这里是php-cgi-5.2.17文件的内容: #!/bin/sh version="5.2.17" PHPRC=/opt/phpfarm/inst/php-${version}/lib/php.ini export PHPRC PHP_FCGI_CHILDREN=3 […]
我需要以编程方式确定基于Javascript的客户端和底层主机的TLSfunction。 什么Web服务器实例(Apache,IIS等),允许在不同的主机名下加载SSL密码的不同configuration? 在这个用例中,所有客户都支持SNI。 唯一的区别是我想在旧密码下使某些页面只读,如果使用现代浏览器,则只能使用完全访问权限。 我的计划是要求每个人去app.example.com,这将会对“legacy.example.com”和“secure.example.com”发出GET请求。 如果安全连接成功,那么我们将通过javascript诱导的redirect进入该端点。 什么networking服务器技术允许这一点,如果我可以在IIS下做到这一点,这是首选。
(已更新)我想代理这样的请求: https://port123.host.com:85/any/path ==> http://server85:123/any/path https://port567.host.com:85/any/path ==> http://server85:567/any/path https://port123.host.com:86/any/path ==> http://server86:123/any/path https://port567.host.com:86/any/path ==> http://server86:567/any/path 你会如何推荐我做到这一点? (我知道这是一个有趣的build筑) 服务器声明没有使用SSL,而不是。 server { listen 86 ssl; server_name port123; ssl_certificate CERT123; ssl_…; localtion / { proxy_pass…. } } server { listen 86 ssl; server_name port567; ssl_certificate CERT567; ssl…; localtion / { proxy_pass…. } } 我发现这是nginx的一个已知限制(单端口和单IP上的多个SSLS)。 但我不知道是否有任何简单的解决方法。 我无法使用SAN,因为我拥有的每台服务器实际上都是通配符证书的通配符。
尝试使用Let's Encrypt生成新的SSL证书,请遵循本指南 – https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14- 04但是正在validation失败。 我确定我的DNS设置正确,并指向我的服务器的IP地址。 我有一种感觉,我的webroot是不正确的。 在我的/etc/nginx/sites-available/default我有allow all参数设置 – server { listen 80 default_server; listen [::]:80 default_server ipv6only=on; root /usr/share/nginx/html; index index.php index.html index.htm; server_name localhost; location ~ /.well-known { allow all; } location / { try_files $uri $uri/ =404; } error_page 404 /404.html; error_page 500 502 503 504 /50x.html; location = /50x.html { […]