我们进行了PCI扫描,希望我们在运行Exchange 2010的服务器2008 R2服务器(14.03.0248.002)上禁用TLS 1.0。 我使用IIS Crypto 1.6 build 7来禁用它。 SSLLabs现在给我们一个A,但autodiscover停止工作正常。 我使用“testing电子邮件自动configuration”工具,它说… Auoconfiguration无法确定您的设置! 在日志选项卡… Attempting URL xttps://mail.example.com/autodiscover/autodiscover.xml found through SCP Autodiscover to xttps://mail.example.com/autodiscover/autodiscover.xml stating GetLastError=12030; xttpStatus=0. Autodiscover to xttps://mail.example.com/autodiscover/autodiscover.xml Failed (0x800C8203) ERROR_WINHTTP_CONNECTION_ERROR 12030 The connection with the server has been reset or terminated, or an incompatible SSL protocol was encountered. For example, WinHTTP version 5.1 does […]
我有这种情况: postix / SASL / dovecot的 我最近添加了dovecot和sasl,我只能收到电子邮件postfix,如果我使用这种电子邮件格式:[email protected] 如果我使用所需的格式:[email protected]有反弹到发件人电子邮件地址5.0.0 smtp; 5.74:中继访问被拒绝 我的MX正在指向域名 我只有一个域名。 postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_at_myorigin = yes append_dot_mydomain = yes biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = ipv4 mailbox_command = mailbox_size_limit = 0 masquerade_domains = $mydomain mydestination = $myhostname,$mydomain,localhost mydomain = domain.cz […]
PCI扫描告诉我停止使用TLS 1.0进行电子邮件。 我使用的是后缀,所以我禁用了TLS 1.0,1.0的所有stream量都停止了。 然后第二天,我看着日志,我看到很多这个… connect from 66-220-155-139.outmail.facebook.com[66.220.155.139] SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1 warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640: lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139] disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139] 我联系了一些服务器的pipe理员。 打开我们我们都使用机会TLS,但我们没有一个共同的TLS协议,他们支持1.0,我支持1.2。 经过一番googleing后,我认为这个问题是在尝试协商TLS失败之后无法恢复为未encryption的问题。 所以我的问题是。 你如何configuration后缀只尝试未encryption的电子邮件与修复列表的IP地址/域?
最近有消息传出,英国的PCI标准将取缔TLS1.0。 不幸的是,这意味着我们将不得不在明年夏季在电子商务的Web服务器上停止使用TLS1.0。 我们想确切地知道我们的用户使用TLS1.0连接到网站的百分比,以确定这个影响和我们的反应需要。 是否有一个模块或Apache的东西,可以让我们这样做? 我可以只使用正常的日志logging的东西? 该网站有很多的stream量,所以在debugging级别loggingSSL的东西可能会很快填补我们的硬盘…
我正在运行一些由Apache / Linux提供服务的小型网站。 目前,我正试图尽可能地减lessSSLconfiguration,使其尽可能安全。 我已经configuration了Apache,以便它只允许TLS 1.2和只有密码与DHE或ECDHE密钥交换。 最新版本的Firefox和Chrome(按照撰写本文的时间)完美地连接到此服务器上的网站。 但标准configuration中的Internet Explorer 11(在Windows 7 x64下运行)无法连接到任何这些网站。 Wireshark捕获的信息显示IE在其第一个客户端hello中尝试TLS 1.2,向服务器显示其密码等等,服务器的答案是正确的,包括select的密码。 然后,似乎无缘无故,IE重新启动,并发送一个新的客户端你好,这次使用TLS 1.0,这当然失败,使IE认为它不能连接到网站。 在IE浏览器中有一个错误,在正确的协议已经成功build立之后,它会尝试错误的协议? 一个错误,可能只发生在服务器只提供TLS 1.2(这可能很less见)?
在安装带有免费的StartSSL证书的TLS的opendkim之前,我有一个完全opendkim邮件服务器,Thunderbird可以正确地连接以发送/接收电子邮件。 我的发行版是Debian 8。 然而,安装opendkim我可以发送validation的电子邮件,但我不能接收(见下面的错误),也没有雷鸟由于某种原因,检索电子邮件后,点击“获取邮件”: mail.log(证书共享后的最后一个重要部分,电子邮件来自您发送电子邮件的服务,它将回复您的DKIM / etc中的信息,对我来说是一个简单的可重复testing): Dec 11 02:11:18 amur postfix/smtpd[2452]: Read 22 chars: EHLO [168.144.32.46]?? Dec 11 02:11:18 amur postfix/smtpd[2452]: Write 180 chars: 250-li211-32.members.linode.com??250-PIP Dec 11 02:11:18 amur postfix/smtpd[2452]: write to 555895BAD5D0 [555895D2C973] (261 bytes => 261 (0x105)) Dec 11 02:11:18 amur postfix/smtpd[2452]: 0000 17 03 03 01 00 ea fd b3|cf f4 […]
我们目前的networking堆栈安装在Plesk的CentOS 5.11服务器上。 我们正在使用PHP 5.4,cURL 7.47.1和openSSL 0.9.8e-fips-rhel5 2008年7月1日。我试图使用基于代码的代码来运行PayPal IPN: https : //github.com/paypal /ipn-code-samples/blob/master/paypal_ipn.php 。 问题是握手试图使用SSLv3似乎不支持贝宝(也许我错了?)。 我收到此错误: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure 。 我发现其他地方说要尝试一些事情。 所有我有。 我曾尝试使用 curl_setopt($ch, CURLOPT_SSLVERSION, 5); curl_setopt($ch, CURLOPT_SSLVERSION, 6); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, "TLSv1"); curl_setopt($ch, CURLOPT_SSL_CIPHER_LIST, "TLSv1.2"); 这些都没有工作。 cURL和OpenSSL都被更新为CentOS 5.11的最新端口。 我希望或者我错过了一些东西,有一种方法来运行没有TLS的PayPal IPN,或者有一种方法来更新openSSL到1.0.1g。 任何帮助将不胜感激。 注意:升级到CentOS 6不是一个选项。
我试图确保我的proftpd服务器,但我不明白我做错了什么。 我的tls.conf <IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd/tls.log TLSProtocol TLSv1 TLSCipherSuite AES128+EECDH:AES128+EDH TLSOptions NoCertRequest AllowClientRenegotiations TLSRSACertificateFile /etc/ssl/certs/mailserver.pem TLSRSACertificateKeyFile /etc/ssl/private/mailserver.pem TLSCACertificateFile /etc/apache2/ssl.crt/1_root_bundle.crt TLSVerifyClient off TLSRequired on RequireValidShell no TLSRenegotiate none </IfModule> 我使用相同的证书文件的HTTPS连接,工作都很好。 当我这样做: openssl s_client -connect 127.0.0.1:21 -starttls ftp 我得到一个很好的ssl连接。 但是,当我做我的外部IP地址相同,我得到这个消息: CONNECTED(00000003)140567084144296:错误:140770FC:SSL例程:SSL23_GET_SERVER_HELLO:未知协议:s23_clnt.c:774: 没有对等证书可用 未发送客户端证书CA名称 SSL握手已经读取了91个字节并写入了300个字节 新(NONE),密码是(NONE)不支持安全重协商压缩:无扩展:无 在我做外部连接时,在TLS日志中没有消息,而在proftpd.log中只有这条消息: Mar 02 13:22:38 domain.tld proftpd [31274] domain.tld(domain.tld [ip.addr.es.s]):打开FTP会话。 Mar […]
我目前的命令: SSLProtocol -ALL -SSLv2 -SSLv3 -TLSv1 +TLSv1.1 +TLSv1.2 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4 当我运行SSLScan但是我得到以下密码仍然可用: Accepted TLSv1 256 bits DHE-RSA-AES256-SHA Accepted TLSv1 256 bits AES256-SHA Accepted TLSv1 128 bits DHE-RSA-AES128-SHA Accepted TLSv1 128 bits AES128-SHA Accepted TLSv1 168 bits EDH-RSA-DES-CBC3-SHA Accepted TLSv1 168 bits DES-CBC3-SHA 我如何修改我的SSLCipherSuite命令来删除对这些的支持?
如果有人将ftp协议从SSLv3更改为TLS,那么对单个ftp传输的命令行是否有更改? 还是仅使用证书完成,如果有,是否有任何已知的configuration更改必须完成? 有没有蓝色区域的具体变化?