警告: SSLv3已过时 。 考虑完全禁用它 。 我正在尝试将Stunnel设置为服务器作为SSLcaching。 一切都很顺利,而且大部分都按devise工作。 然后我在日志文件中遇到错误: SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 并不是所有的客户都会触发这个事情 使用链接从CentOS连接 – 错误显示(尝试多台机器)。 使用链接从Ubuntu连接 – 没有错误。 尝试使用wget,并与TLSv1一切顺利,但错误显示与SSLv3。 同时,wget报道: OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 无法build立SSL连接。 这是我的configuration: pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 […]
我试图使我的传出和传入stream量看起来尽可能接近SSLstream量合法。 有没有办法DPI我自己的stream量,以确保它看起来像SSLstream量,而不是OpenVPNstream量? 并根据我的configuration设置所有的stream量使用端口443这是SSL端口? 我的configuration如下: 笔记本电脑上的STUNNEL: [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to connect = REMOTE_SERVER_IP:443 OPENVPN CONFIG ON笔记本电脑: client dev tun proto tcp remote 127.0.0.1 1194 resolv-retry infinite nobind tun-mtu […]
我想在haproxy 1.4之前joinstunnel来处理HTTPSstream量。 我还需要stunnel添加X-Forwarded-For头。 这可以通过haproxy网站上的“stunnel-4.xx-xforwarded-for.diff” 补丁来实现。 但是,描述中提到: 请注意,此修补程序不保持活着,… 我的问题是:这对我来说意味着什么? 我不确定, 如果这是关于保持之间 客户和stunnel stunnel和haproxy 或haproxy和后端服务器? 这对于性能意味着什么:如果我在网页上有100个图标,浏览器将不得不协商100个完整的SSL连接,还是可以重新使用SSL连接,创build新的TCP连接?
一些电脑,但不是大多数,拒绝从我的networking服务器的SSL证书。 问题似乎是一些电脑拒绝CA证书。 这个问题似乎在Mac OS X 10.6上没有完全更新时显现出来。 根据http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com – 没有问题。 根据http://certlogik.com/sslchecker/ ,没有中间证书被发送。 我的证书来自Starfield Technologies,我从这里使用sf_bundle.crt :certs.godaddy.com/anonymous/repository.seam 我通过以下stunnel.conf通过stunnel在我的服务器上处理SSL: cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 任何想法我可能做错了什么?
我们有一个连接到MySQL服务器的PHP应用程序,我们希望保证Web和应用程序服务器和数据库之间的连接安全。 在高峰时段,Web服务器会与数据库build立数百个并发连接,并执行大量的小型读写操作。 我知道这不是最佳的,我正在努力减less与此并行的数据库连接数量。 我们目前没有连接到数据库的持久连接,虽然我们打算在未来,我想独立于此实现这一点。 硬件方面 – 与Web服务器一样,MySQL服务器非常笨重(16核心)。 他们是专用服务器。 然后我的问题围绕保护和encryption到数据库服务器的连接的最高性能的方式。 到目前为止,我的研究表明,主要的性能开销是build立SSL连接 – 一旦连接SSL,性能就会受到影响。 以下是关于确保连接的每种方法: MySQL SSL证书 – 就像正常的SSL一样工作。 可以使用客户端证书来防止未授权的连接 没有与我们现有的设置持久的连接。 仍然必须让MySQL在防火墙的开放端口上侦听。 安全通道。 设置一个端口到端口ssl隧道。 不必重新configurationMySQL。 可以closures正常的MySQL侦听端口,以防止恶意的MySQL连接尝试。 不支持持续连接。 未知的performance击中。 SSH隧道。 在客户端和服务器之间创build一个SSH隧道。 不必重新configurationMySQL。 可以closures正常的MySQL侦听端口,以防止恶意的MySQL连接尝试。 支持持续连接,但有时会退出。 未知的performance击中。 这是我所能得到的。 我意识到基准的局限性 – 根据我的经验,模拟真实世界的stream量是非常困难的。 我希望有人根据他们自己的MySQL安全经验提供一些build议? 谢谢
使用stunnel作为HTTPS反向代理时,如何缓解POODLE SSL漏洞?