我们的PCI合规供应商要求我们在我们的Web服务器上禁用除RC4以外的所有encryption。 目前我们的apacheconfiguration文件如下所示: SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2 但是, https://www.ssllabs.com报告允许使用以下密码: TLS_RSA_WITH_RC4_128_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA 我怎样才能configurationApache只允许RC4?
我已经根据本指南设置了一个邮件服务器。 当我telnet mydomain.com 25并使用AUTH命令时,它返回: Error: authentication not enabled 试图通过Outlooklogin返回一个未知的错误,当我发送一个电子邮件到一个地址我得到一个中继访问被拒绝的错误。 但是, mxtoolbox告诉我一切都设置好了。
我目前正在为从SHA1到SHA2兼容证书pipe理的各种网站升级SSL证书。 迄今为止,我们一直使用“RSA”作为SSL证书的密钥交换机制,因此我决定在生成replace证书的证书签名请求时继续这样做。 在我的开发环境中,我已经replace了几个证书,并在Web服务器上优先考虑基于SHA256(SHA-2)的密码套件。 我注意到Google Chrome 42和Firefox 37.0.2仍在select基于SHA1的密码套件TLS_RSA_WITH_AES_256_CBC_SHA 。 (我还没有正确testingInternet Explorer) 为了确定Chrome 42和Firefox 37.0.2支持的密码套件,我已经执行了一个networking跟踪,并在ClientHellofind了TLSCipherSuites 。 Chrome 42: TLSCipherSuites: Unknown Cipher TLSCipherSuites: Unknown Cipher TLSCipherSuites: Unknown Cipher TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2B } TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2F } TLSCipherSuites: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 { 0x00, 0x9E } TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA { 0xC0,0x0A } TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA { 0xC0,0x14 } TLSCipherSuites: TLS_DHE_RSA_WITH_AES_256_CBC_SHA { 0x00, […]
我想知道我的本地postfix在STARTTLS之后对Amazon SES smtpd所说的话。 用纯文本,所以我可以理解它。 Amazon SES需要TLS,所以我暂时不能closures它。 我现在用这个技巧logging了交通的两条腿: mkfifo proxypipe cat proxypipe | nc -l 11111 | tee -a inflow | nc email-smtp.us-east-1.amazonaws.com smtp | tee -a outflow 1>proxypipe 然后我有postfix谈话localhost:11111而不是email-smtp.us-east-1.amazonaws.com:25。 只要他们用清晰的文字说话,这会产生一个很好的成绩单。 一旦STARTTLS出现,当然一切都变得乱七八糟。 是否有一些技巧可以通过openssl或后处理使用openssl或类似的东西,找出他们对对方说的是什么? 谷歌search没有产生任何答案。
我们公司有以下安装程序 Synology RS812 +主机LDAP,RADIUS,DNS(版本DSM 5.0-4458更新2) 2 * Cisco Wifi接入点WAP561(固件1.0.3.4) 思科路由器ISA500(固件1.2.19) 我们想要的基本上是通过RADIUS对基于LDAP的WiFi进行身份validation和授权 我们在GlobalSign发行的Synology上安装了一个证书,用于根域example.com和nas.example.com(我们之前使用了我们的通配证书,Synology显示为自签名,可能没有使用扩展名,所以我买了另一个) 我configuration了AP(WPA2)连接到RADIUS(基于IP)和RADIUS以访问LDAP(同一台机器)。 基本上所有的工作,除了我们的Win7(和一些Vista)客户端有问题做与RADIUS的TLS握手 不幸的是输出不是很好,因为它只显示 Auth 2014-04-15 10:01:49 Login incorrect (TLS Alert read:fatal:access denied): [[email protected]/<via Auth-Type = EAP>] (from client CiscoHardware port 0 cli 00-26-82-ED-61-92) Error 2014-04-15 10:01:49 TLS Alert read:fatal:access denied 我的猜测:请求者(Win7机器)不接受证书,导致authentication无法正常工作。 如果我取消选中“检查服务器证书”选项一切正常。 这个问题肯定是authentication中使用的证书,因为对Microsoft的证书有很强的要求: http://support.microsoft.com/kb/814394/en-us 我已经检查了1.3.6.1.5.5.7.3.1的对象标识符。 并出现在证书中 还有两点我可能不完全明白: 服务器证书的“主题”行中的名称与客户端上为连接configuration的名称相匹配。 对于无线客户端,主题备用名称(SubjectAltName)扩展名包含服务器的完全限定的域名(FQDN)。 在半径上有一个中间证书,根证书(GloalSign)被操作系统信任。 关于域名:由于客户端连接到SSID并且AP通过IP指向RADIUS服务器,客户端如何检查? 我怎样才能进一步debugging呢? 我正在使用Win7机器,但是如果需要,可以使用linux
背景 我已经看到Comodo有一个椭圆曲线根(“COMODO ECCauthentication机构”),但是在他们的网站上我没有看到EC证书的提及。 Certicom是否拥有阻止其他发行人提供EC证书的知识产权? 广泛使用的浏览器是否无法支持ECC? ECC不适合传统的PKI使用,如Web服务器authentication? 还是只是没有需求呢? 由于NSA Suite B的build议,我有兴趣切换到椭圆曲线。 但对于许多应用程序来说这似乎并不实际。 赏金标准 要索取奖金,答案必须提供一个链接到知名CA网站上的一个或多个页面,描述他们提供的ECC证书选项,价格以及如何购买。 在这种情况下,“众所周知”意味着在Firefox 3.5和IE 8中必须默认包含正确的根证书。如果提供了多个合格的答案(人们可以希望!),那么来自无处不在的CA将赢得赏金。 如果这还没有消除任何联系(仍然希望!),我将不得不酌情select一个答案。 记住,有人总是声称至less有一半的赏金,所以即使你没有全部的答案,请给它一个镜头。
更新 我已经能够使用一个简单的PHP脚本来尝试LDAP绑定的小规模重现问题。 从那个脚本我得到更多的debugging输出,让我确定实际的问题。 所以我正在重写这个问题。 脚本 我正在尝试在我的Debian Wheezy服务器上设置一个LDAP环境。 我想要使用有效的SSL证书来保护与服务器的通信(意思是,它不是自签名的)。 我正在使用自编译的OpenLDAP版本,因为Debian版本库中的最新版本不支持SHA2密码散列。 问题的细节 我可以使用这个简单的PHP脚本来尝试绑定到我的LDAP服务器。 <?php error_reporting(E_ALL); ini_set('display_errors', 'On'); /* if I remove this, it doesn't work */ putenv('LDAPTLS_CACERT=/path/to/my/root.ca'); $uri='ldaps://localhost'; if (!ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, 7) ) { die('log level option failed\n'); } $ldap = ldap_connect($uri) or die ('connect failed'); if ( !ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3) ) { die('protocol version set failed\n'); […]
我们的网站通过内容交付networking(AWS CloudFront)提供静态内容,该networkingconfiguration为响应多个CNAME,并为这些主机名使用SSL通配符证书。 由于CDN可以服务于来自相同IP地址的许多不同的虚拟主机,因此客户端需要SNI支持。 我们很清楚一些操作系统/浏览器组合不支持SNI ,所以我们基于User-Agent头实现了对http的回退。 然而,一些客户反馈说,内容没有被送达。 似乎没有哪种浏览器或操作系统出现问题,例如现代Windows上的现代Chrome会引发ERR_CONNECTION_CLOSED 。 另外,整个办公室也会遇到同样的问题,所以有一个强烈的迹象表明,这个问题来自于networking设置而不是个人客户。 当我们转向非SNI解决scheme时,问题就消失了。 那么,我的问题是,如果networking中的其他元素可以阻止TLSv1和/或SNI? 网关,路由器,代理服务器,VPN或其他任何可能在networking设置中find的东西是否可以以某种方式防止TLSv1 / SNI工作?
我没有设置一个rabbitmq铲amqps。 同一把铲子在amqp上工作得很好。 我的(编辑)uri: amqps://un:[email protected]:5679?cacertfile=/etc/ssl/certs/example.com.cacert.crt&certfile=/etc/ssl/certs/example.com.crt&keyfile=/etc/ssl/private/example.com.key&verify=verify_peer stunnel日志中的错误: SSL_accept: 14094410: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 和铲状态是 {{badmatch,{error,{tls_alert,“handshake failure”}}} 通过openssl从shell中连接工程: openssl s_client -connect myhost.example.com:5679 -cert /etc/ssl/certs/example.com.crt -key /etc/ssl/private/example.com.key -CAfile /etc/ssl/certs/example.com.cacert.crt 回报 Negotiated TLSv1/SSLv3 ciphersuite: ECDHE-RSA-AES256-GCM-SHA384 (256-bit encryption) 我的rabbitmq.config: [ {kernel, [ ]}, {ssl, [{versions, ['tlsv1.2', 'tlsv1.1' ]}]}, {rabbit, [ {ssl_listeners, [5671]}, {ssl_options, [{cacertfile,"/etc/ssl/certs/example.com.cacert.crt"}, {certfile,"/etc/ssl/certs/example.com.crt"}, {keyfile,"/etc/ssl/private/example.com.key"}, {versions, ['tlsv1.2', 'tlsv1.1']}, {depth, […]
我最近用java 7升级了我的Weblogic服务器到10.3.6。因此,我通过setEnv.sh启用了TLS1.0 – TLS 1.2。 我使用的一些密码确保它们兼容(由Weblogic,FF37,Chrome 44等支持)如下: <ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> 这是在SSL标签下的config.xml中。 我也有JSSE启用,以确保我可以得到一个TLS1.2连接。 Weblogic 10.3.6支持的encryption列表在这里find 我用SSL实验室看到的一个问题是,使用这些密码,我仍然可能容易受到POODLE的攻击。 Nmap扫描给了我这个密码是什么: | ssl-enum-ciphers: | SSLv3: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_RSA_WITH_AES_128_CBC_SHA – strong | compressors: | NULL | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – […]