我正在考虑构build一个root-CA,以便与我放在一起的东西一起使用。 每个客户都会向我注册他们自己的服务器,我会将他们的证书签名为(id).example.com的持有者。 每个客户都将安全地下载我的CA证书,并将其设置为仅适用于example.com和子域。 我如何将自己的CA-cert设置为仅适用于example.com? 我的客户不会想要相信我签署(说)paypal.com,只是域名,它是我做的子域名。 我也不想成为有人可以强迫我签名的证书。 (我现在正在看openssl,但是任何替代方法都是可以的,如果只是一个命令行选项,那么它现在正在削弱我)。
所以我最近设置了一个个人的GitLab服务器,我正在使用完整SSL的以下configuration。 我尽我所能,但还有什么可以做得更好? 我大部分时间都是通过闲暇时间了解我对networking服务器的了解,所以我没有真正遵循任何规范。 请让我知道任何意见和疑虑。 server_tokens off; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self''unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com h https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'"; server { listen 80; listen 443 default ssl […]
由于SSL是互联网的骨干(现在在技术上被称为TLS),我应该阅读一些好书,以了解它的各个方面。 我想我需要学习一些math,一些PKI书籍,encryption和系统pipe理员书籍。 由于这不是一个完整的清单,我有兴趣听到你认为是明智的学习。
我准备在我的Postfix服务器上启用TLS。 我这样做是因为被告知,如果TLS不可用,有一些发送服务器拒绝发送消息。 由于我有很多需要启用此服务器的服务器,因此我将使用通配符SSL证书。 我想如果我只是使用Verisign,那么发送识别我们的证书的服务器可能不会有问题。 然而,我很想尝试一个更便宜的select,如RapidSSL,甚至cacert.org(我明白提供免费的证书)。 有没有人有使用这些便宜的选项之一的经验? 他们的证书是否被大多数邮件服务器所认可? 当我试图find关于这个问题的答案时,似乎每个人都只是担心电子邮件客户端识别…但是,这是完全不相关的,因为我们的服务器是只有入站电子邮件…没有电子邮件客户端连接到他们。
首先,我的英语很抱歉。 我认为在smtpd_recipient_restriction列表的第一个位置上设置permit_mynetworks和permit_sasl_authenticated限制是非常常见的,但是,如果一个帐户被盗用(病毒使用被盗的证书 – 从Outlookconfiguration文件 – 例如发送垃圾邮件)可以发送电子邮件没有进一步的限制,你最后的机会是你的米尔特正确拒绝来自被盗用帐户的垃圾邮件信息; 但是,效率不高吗? 我认为postfix更有效地拒绝垃圾邮件,因为它使用SMTP协议等等的信息,但是milters必须扫描邮件的内容来检测邮件是否是垃圾邮件。 但是,我的所有客户都使用TLS连接到我的服务器。 病毒/垃圾邮件发送者是否可以使用encryption连接发送电子邮件(只要他们窃取了密码)? 我不这么认为,因为垃圾邮件发送者试图尽可能快地发送邮件,并且encryption连接对于这些目的来说太慢了。 如果是这样的话,我没有任何问题允许通过身份validation的客户端发送邮件,但我想确定它。
最近我一直在尝试使用Nginxredirect到HTTPS,但当我尝试在浏览器中访问我的网站后,我一直收到一个redirect循环。 这是我的完整的服务器块configuration文件: server { listen 80 default_server; listen [::]:80 default_server ipv6only=on; listen 443 ssl; root /var/www; index index.php index.html index.htm home.html contact.html projects.html; # Make site accessible from http://localhost/ server_name melone.co; return 301 https://$host$request_uri; ssl_certificate /path/to/ssl; ssl_certificate_key /path/to/ssl; location / { # First attempt to serve request as file, then # as directory, then fall […]
我想强制一套自己的TLS密码套件,而不是使用内置的Postfix。 我期望的一组密码是(取自nginxconfiguration): ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA 不幸的是,我找不到一个引用来覆盖密码套件。 我发现这是可能的,但不是如何。 如何看起来像smtp和smtpd等效的Postfixconfiguration? 使用Debian / 7,Postfix / 2.11.2,OpenSSL / 1.0.1e
如果我在客户端validation自签名SSL证书的指纹,是否仍然会发生中间人攻击?
我已经获得带有SSL的OpenLDAP,并且在带有签名证书的testing框中工作。 我可以在Windows上使用LDAP工具来查看LDAP上的LDAP(端口636)。 但是,当我运行dpkg-reconfigure ldap-auth-config来设置我的本地login使用ldaps时,我在该目录下的用户名下login不起作用。 如果我改变configuration使用普通的ldap(端口389),它工作得很好(我可以在目录下的用户名login)。 当它的设置ldaps我得到Auth.log显示: Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server… Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server 我会提供任何需要的。 我不知道还有什么要包括的。
我在SMTP工作stream程中部署了SendMail 8.14服务器(出站邮件看起来像Exchange – > SendMail – > Appliance – > Internet ) 我为前三台主机configuration了TLS。 这大部分工作正常,但我需要临时禁用TLS发送到一个特定的收件人([email protected])出于故障排除的目的。 问题是我不想为99.999%的stream量禁用TLS,也不想为发往[email protected]的邮件禁用TLS。 如果(只有)我发送到[email protected],有没有办法让sendmailselect性地使用机会性的STARTTLS? 我知道try_TLS规则集支持主机,域和IP,但它是否支持单个电子邮件地址?