在新build的Domino 8.5.3服务器上运行https://www.ssllabs.com/ssltest/index.html ,是否可以configurationhttps://community.qualys.com/blogs/securitylabs/2011/10 / 17 /降低最兽攻击上-TLS 服务器最初获得了“F”的分数,但添加SSL_DISABLE_RENEGOTIATE = 1并取消旧的SSL密码已将分数提高到“B”。 (根据下面的博客文章,我已经更新了以下正确的设置) 澄清以下SSL密码已启用: – 使用128位密钥和MD5 MAC的RC4encryption – 使用128位密钥和SHA-1 MAC的RC4encryption 以下SSL密码被禁用: – 使用128位密钥和SHA-1 MAC进行AESencryption(仅适用于Domino 8+) – 使用256位密钥和SHA-1 MAC进行AESencryption(仅适用于Domino 8+) – 使用56位密钥和SHA-1 MAC的DESencryption – 具有168位密钥和SHA 1 MAC的三重DESencryption – 使用40位密钥和MD5 MAC的RC4encryption – 不使用MD5 MACencryption – SHA-1 MAC不encryption SSL v2未启用
当Postfix是多个域的目的地时,是否需要每个域的TLS证书,还是只需要$ myhostname中的域? 也就是说,那里有smtp的客户,他们会检查他们用来查看我们的MX的证书,还是他们都足够聪明,等待220响应和/或做反向DNS,并检查呢? 如果不先检查证书,甚至有可能收到220? 但是否则,Postfix甚至有可能知道客户需要什么证书? 编辑:即使他们做反向DNS,如果客户愿意接受解决任意域的MX地址,是不是微不足道的MITM? 或者,如果我需要TLS,解决scheme永远不会使用虚拟MX?
openldap上的每篇文章/ how-to / blog都会将ldap的ldap证书放在/ etc / openldap / cacerts目录中。 我想知道为什么不把证书放在/ etc / pki / tls / certs中,并在/ etc / openldap / cacerts – > / etc / pki / tls / certs之间build立一个符号链接? 这样所有的证书都在系统中的一个地方,而不是分布在各种目录中。
我有Carambola2设备上运行的OpenVPN客户端[1],当我使用3g / umts棒或有线以太网时,OpenVPN客户端每次都build立VPN隧道。 当使用WiFi时,如果WiFi信号不完美,则OpenVPN客户端由于TLS超时而失败10/10! 日志在60秒后显示LS超时。 如果杨桃设备(客户)与AP在同一个房间,那么OpenVPN得到build立没有任何问题! 当其他房间的杨桃设备(它与AP之间有两堵墙,信号显示-80dBm左右)时,没有丢弃ping,但是由于TLS超时,OpenVPN在60秒后失败。 我试图在客户端和服务器上设置“tls-timeout 120”,但是60秒后这些仍然是TLS超时,我做错了什么? 我应该在OpenVPN服务器上切换到tcp而不是udp吗? 有什么我可以尝试的其他调整? 我已经读过有时function不太强大的设备(智能手机和小型家庭无线路由器),或者在使用非常慢的连接(GPRS信号覆盖范围较小的区域)时,在TLS握手过程中导致TLS超时问题,因为超时发生在客户端完成计算会话密钥。 但是,为什么这些设备build立OpenVPN的连接没有TLS超时时,无线信号是理想的10/10? [1] http://8devices.com/carambola-2
我在Debian Wheezy中运行postfix作为我的MTA。 我目前已经configuration为要求SMTP安全连接。 在main.cf中我有: smtpd_tls_auth_only = yes smtpd_tls_security_level = encrypt 然后在master.cf中,我有: smtp inet n – – – – smtpd -o smtpd_enforce_tls=yes 这工作正常。 但是,由于硬件不兼容,我有一个场景需要允许单个电子邮件帐户访问,而无需使用SSL / TLS进行连接。 有没有一种简单的方法可以根据经过validation的用户来select这个需求? 我还没有遇到任何简单或优雅的解决scheme来实现这一点。 任何想法/反馈的欢迎!
由于许多提供商切换到仅TLS连接,我不能提供给默认的纯文本后缀设置Gmail。 我的问题是,我可以使用有效的TLS /谷歌接受带有自签名证书的TLS吗? 如果没有,我唯一的select是使用具有有效证书的邮件服务器; 例如,我可以使用Gmail账户来发送邮件,对吧?
我已经禁用SSL3在我的networking服务器上,以对抗Poodle漏洞,现在我无法使用SQL身份validation连接到我的SQL服务器。 我只是“连接强行closures由远程主机”的消息。 任何人可以提供任何build议? 在SQL上需要configuration更改吗?
我正在使用Apache 2.2.4版本。 我已经知道这个版本只支持SSLv2,SSLv3和TLSv1.0,但是当我使用它时会发生一些奇怪的事情: 当SSLv2被禁用时,networking浏览器(在我的情况下是Internet Explorer)使用SSLv3 SSL 3.0,带有168位encryption的3DES(高); 与2048位交换的RSA。 当我启用SSLv2时,Web浏览器使用TLSv1.0: TLS 1.0,具有256位encryption的AES(高); 与2048位交换的RSA 最后,当我禁用两个协议(SSLv2和V3),网页根本不加载! 我使用Apache的这个configuration: SSLProtocol all SSLCipherSuite all 你能为我解释一下吗? 如何在不启用SSLv2的情况下使用TLSv1.0?
我有一个Web应用程序(不在Windows上托pipe),通过查询LDAP服务器(Windows域控制器)来validation用户。 该应用程序被configuration为使用STARTTLS来encryption与LDAP服务器的通信。 我想validation这是正确协商,连接确实用TLSencryption。 什么是实现这一目标的有效途径?
我正在configurationFreeRADIUS 2.2.6。 我使用TLS,因为Windows 7不支持TTLS。 使用Windows 8.1,无需安装证书即可使用WiFi连接 使用Windows 7和以前的连接不能没有证书 我需要让用户轻松连接。 用户是否可以在没有证书的情况下进行身份validation?