我们是一个多租户服务,并在我们的负载均衡器(HAProxy + Apache for SSL终止)中终止我们的SSL,由于专用IP需求,这已经引起了越来越大的痛苦。 但时代已经改变,我们正在考虑转向SNI,所以我希望2015年的教育意见能够把它作为我们的标准。 我将概述我们的假设: 由于POODLE攻击,SSL已经死亡(长寿命TLS) TLS内置了SNI IE6 / Windows XP(<sp3)由于多种原因而死亡,其中最重要的就是XP要进入EOL 在这一点上,我们已经终止了对IE7和IE8的支持 我认为现在SNI基本上是全球支持的吗? …和… 除此之外,我还应该考虑哪些情况会影响支持? 最后… 既然HAProxy 1.5直接支持SSL终止,那么直接与SNI有关的经验是否会影响到我们推出这项服务的能力呢?
我在一些Web服务器前面有一个HAProxy。 从客户到HAProxy的连接是SSL安全的。 但在HAProxy终止,从HAProxy到底层Web服务器的stream量都清楚了。 我很清楚前向stream量是如何来的,即来自客户>> HAProxy >> Web服务器。 但是反过来呢? 从Web服务器到客户端? 它是否安全?
我试图设置一个我自己的networking服务器与邮件服务器,(我不是一个Linux导出只是下面的一些教程),与Nginx,PHP-FPM和MySQL的networking服务器设置似乎是成功的,然后我转移到邮件服务器设置与后缀和dovecot。 这似乎也安装好了。 当我检查与旧的服务器在telnet TLS连接返回比新的不同的答复。 老人说18个自签名但新的21个第一个证书无法validation 。 debugging结果: 我运行的命令是为正在工作的原始邮件服务器 openssl s_client -connect mail.example.com:25 -starttls smtp 回复是 verify return:1 — Certificate chain 0 s:/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels Panel/CN=Parallels Panel/[email protected] i:/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels Panel/CN=Parallels Panel/[email protected] — Server certificate —–BEGIN CERTIFICATE—– MIIDszCCApsCBFQW12QwDQYJKoZIhvcNAQEFBQAwgZ0xCzAJBgNVBAYTAlVTMREw DwYDVQQIEwhWaXJnaW5pYTEQMA4GA1UEBxMHSGVybmRvbjESMBAGA1UEChMJUGFy YWxsZWxzMRgwFgYDVQQLEw9QYXJhbGxlbHMgUGFuZWwxGDAWBgNVBAMTD1BhcmFs bGVscyBQYW5lbDEhMB8GCSqGSIb3DQEJARYSaW5mb0BwYXJhbGxlbHMuY29tMB4X DTE0MDkxNTEyMTExNloXDTE1MDkxNTEyMTExNlowgZ0xCzAJBgNVBAYTAlVTMREw DwYDVQQIEwhWaXJnaW5pYTEQMA4GA1UEBxMHSGVybmRvbjESMBAGA1UEChMJUGFy YWxsZWxzMRgwFgYDVQQLEw9QYXJhbGxlbHMgUGFuZWwxGDAWBgNVBAMTD1BhcmFs bGVscyBQYW5lbDEhMB8GCSqGSIb3DQEJARYSaW5mb0BwYXJhbGxlbHMuY29tMIIB IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAur6FGm1GYj98XradW+dIwWip 6wvBUk5ePdSFCqzGink7+2MRyq4iKn/65Pc/YeUlToI8txUYc14M017VtCmb6Wd2 ohA0QtsRVMvX7n70nmflUVAzwzdBwtCE3+25ql4dA4ixe5zwI0XIWeYfqEoRtpyu 1ebUFBd8pRvvR0jA75cx4BIEvIGFIiSYZ9cTIp+Q/gGBesI/HBadUS8aEMf+6nTX +iFdjgHNO/uPupqp8uU24QFQzphghvpy1y079QuqrsYoQWOKKf4QG/xbeFiYUgbp rtaF9OvKD2ugzwdAVBFtuzdg8/2fcjB9YFBipm0DZygrbM9OG5TA9dQyh84oVwID AQABMA0GCSqGSIb3DQEBBQUAA4IBAQCtqyW6NGN3auoFEHKlcRHGP0GxAChhPMpB NCUW+/ZHR4tXiiTI2xQcr1yfGmRkwipn9z+GAzL1bkkHpnOHSGAx+0G6CH645QkC 7YDqeRMnkCVrmYlJ73TB9WMczg8Zp/GxNU4lSSiYU+bthVOdbw0XHpnzhl02WckC UZbJIXUI9V8NpWDq38R260Dxax4OOO3YVJ+pynqZMQjhUl7XMXLhT6o4GbmUHDtZ jqgGti4M7YBPHY9l1nb9N2KZx9kgfS8i885DS5yhSjxMmeEfMMn3DIZlhc7lBEEX N+btpue2vX+Q+gOAP/qEk8FqHxcyHquc89XGafuJ677LIEQlhOA1 —–END CERTIFICATE—– subject=/C=US/ST=Virginia/L=Herndon/O=Parallels/OU=Parallels […]
我有几个我想要安装一个自签名的SSL证书的网站。 我尝试了下面的各种指南,比如这个指南(都提供了或多或less的完全相同的说明)。 但是,给出的说明似乎是安全过时的。 我将是唯一一个在网站上使用SSL的人; 人们不会知道HTTPS是否启用,除非他们挖掘它。 例如,Chrome会为我的网站显示此信息 ,而针对ServerFault显示此信息 。 如何使用当前的encryption标准生成正确,安全的SSL / TLS证书? 万一重要,服务器运行Ubuntu 14.10服务器和Apache 2.4。
假设我有app1.domain.com和app2.domain.com ,以及它的基本configuration文件app1.conf和app2.conf ,在vhosts.d文件夹内。 SSLconfiguration文件应该包含应用程序的path和证书的path。 但是,为什么仅在app1( app1.ssl.conf )中添加SSLconfiguration文件app1.ssl.conf在app2上启用SSL? 我的意思是,我可以进入https://app2.domain.com ,从app1的SSLconfiguration中获取SSL密钥path。
我正在尝试在我的服务器上安装一个positivessl证书,但没有成功。 我开始在我的服务器上创build一个mydomain.key文件并请求证书。 我使用捆绑的文件 cat www_***_co_uk.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt 我把这个file upload到我的服务器到home/piet目录。 这也是我的.key和.csr的地方。 现在我需要更新nginxconfiguration,对吧? 我正在使用从数字海洋的Drupal液滴安装。 在我的/etc/nginx/sites-enabled有 drwxr-xr-x 2 root root 4096 Apr 22 07:38 . drwxr-xr-x 5 root root 4096 Nov 25 18:45 .. -rw-r–r– 1 root root 16 Apr 22 07:38 default lrwxrwxrwx 1 root root 33 Nov 25 18:45 drupal -> /etc/nginx/sites-available/drupal 这里的默认文件是空的,所以我跟着链接。 […]
我遇到了一个使用TLS后端的HAProxy-Server问题。 启动HAProxy时,后端会将所有服务器报告为closures状态: Server web_remote/apache_rem_1 is DOWN, reason: Layer6 invalid response, info: "SSL handshake failure", check duration: 41ms. 1 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue. 后端的configuration如下: backend web_remote balance leastconn option httpchk HEAD / option redispatch retries 3 default-server inter 5000 rise 2 fall 5 maxconn 10000 […]
我正在OpenLDAP上设置SSL / TLS,并想知道为什么Debian手册有用户创build一个自签名的证书? 一个真正的CA签名会不会更安全?
我刚刚为我的网站购买了SSL证书,并尝试使用我的nginx安装,但是uppon连接浏览器拒绝与网站的连接。 这是Vhost的相关部分: server { listen 80; listen [::]:80; server_name mysite.be www.mysite.be; return 301 https://mysite.be$request_uri; } server { listen 443 ssl spdy; listen [::]:443 ssl spdy; ssl_certificate /etc/nginx/ssl/mysite.be/www.mysite.be.pem; ssl_certificate_key /etc/nginx/ssl/mysite.be/mysite.be.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # don.t use SSLv3 because of the POODLE attack # Enable OCSP Stapling, point to certificate chain ssl_stapling on; ssl_stapling_verify on; # […]
我愿意在我的鸽舍服务器(Debian GNU / Linux)上禁用SSL,只剩下TLS作为唯一的select。 在此之前,我想知道谁仍然通过SSL连接到较旧或错误configuration的客户端,以便警告他们并协助迁移到支持TLS的应用程序。 有没有办法从服务器日志(或任何其他方式)告诉谁仍在使用SSL?