我正在切换到100%https的进程。 服务器正在运行nginx + libressl。 在去https:100%之前,我很想看看哪些客户端将不能连接到我的网站。 例如,因为我不支持SSL3。 我检查了nginx错误和访问日志,但没有包含有价值的信息,如果我尝试连接SSL3。 我期望看到:例如: Client [IP]: Connection failed due to protocol/cipher mismatch. 然后,我可以grep的访问/错误日志,看看有多less客户端不能再访问我的网站。 这可能吗? 目前的nginx.conf : user www-data www-data; pid /run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; error_log /var/log/nginx/error.log; events { worker_connections 2048; use epoll; multi_accept on; } http { server_tokens off; autoindex off; charset UTF-8; include mime.types; default_type application/octet-stream; log_format main '$host […]
我目前在Windows Server 2012 R2上遇到问题。 事件日志是源“Schannel”的错误。 错误描述是: “致命的警报被生成并发送到远程端点,这可能导致连接终止,TLS协议定义的致命错误代码是40,Windows SChannel错误状态是1205。 我查看了通过Googlesearchfind的文章,指出这是SHA512支持的问题。 令我困惑的是,这个错误是随机发生的,并导致运行在服务器上的.NET网站由于无法使用SSL TLS 1.2连接到外部Web服务而失败。 网站和外部networking服务的通信运行良好数周,然后突然出现这个错误,网站无法连接到Web服务。 .NET中的错误日志(如果有帮助的话)是“System.Security.Cryptography.CryptographicException:Object只包含密钥对的公有一半,还必须提供私钥”。 没有做任何事情,问题在5-10分钟后消失。 有没有人有任何关于如何debugging这个问题的build议?
我在Apache下编写了一个运行在PHP中的IPP服务器。 与标准的IPP客户端,它工作得很好。 但是,当我尝试从iOS设备打印时,当客户端尝试切换到TLS时,连接中断。 这似乎被RFC 2817(在HTTP / 1.1中升级到TLS)所涵盖,并且应该由Apache支持多年。 我的Apacheconfiguration有什么问题? Apache SSLconfiguration: SSLEngine optional SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key 请求: OPTIONS * HTTP/1.1 Connection: Upgrade Host: iserv.local Upgrade: TLS/1.0,SSL/2.0,SSL/3.0 User-Agent: CUPS/1.5.0 回复: HTTP/1.1 200 OK Server: Apache/2.2.16 Content-Length: 0 Content-Type: text/plain 预期回复: HTTP/1.1 101 Switching Protocol Server: CUPS/1.4 Connection: Keep-Alive Keep-Alive: timeout=30 Connection: Upgrade Upgrade: TLS/1.0,HTTP/1.1 Content-Length: 0
我configurationrsyslog加载TLS模块(谈谈loggly),我得到这个错误: Jun 20 13:14:00 feynman rsyslogd-2068: could not load module '/usr/lib/rsyslog/lmnsd_gtls.so', rsyslog error -2078 [try http://www.rsyslog.com/e/2068 ] 该页面, http : //www.rsyslog.com/e/2068 ,说应该有附近的另一个错误消息。 至less在/ var / log / syslog中,这是我所看到的: Jun 20 13:17:01 feynman rsyslogd: [origin software="rsyslogd" swVersion="5.8.6" x-pid="22276" x-info="http://www.rsyslog.com"] start Jun 20 13:17:01 feynman rsyslogd: rsyslogd's groupid changed to 103 Jun 20 13:17:01 feynman rsyslogd: rsyslogd's […]
我似乎有问题,我的openvpn服务器 – 客户端连接。 现在,重要的信息在我的客户端的日志(verb3)中: Mon Mar 30 17:09:59 2015 OpenVPN 2.2.2 x86_64-slackware-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jul 4 2012 Mon Mar 30 17:09:59 2015 NOTE: OpenVPN 2.1 requires '–script-security 2' or higher to call user-defined scripts or executables Mon Mar 30 17:09:59 2015 LZO compression initialized Mon Mar 30 17:09:59 2015 Control Channel […]
在尝试设置openvpn时,我在网站上偶然发现了这个提示 。 它说,你可以限制密码列表,以防止降级攻击。 我用2台计算机在局域网上testing了它们,都使用OpenVPN 2.3.2运行kubuntu 14.04。 在openvpn服务器上的server.conf中,我插入了这一行 tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 通过执行openvpn –show-tls并比较输出结果,我确信每一个上面的密码都被我的openvpn版本(在服务器和客户端上)所知。 但是当我启动openvpnserver和客户端后,服务器给我下面的输出 Fri Sep 25 12:31:59 2015 "THECLIENTSIP":38749 TLS: Initial packet from [AF_INET]"THECLIENTSIP":38749, sid=d9c33d37 653b2f0e Fri Sep 25 12:32:00 2015 "THECLIENTSIP":38749 TLS_ERROR: BIO read tls_read_plaintext error: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher Fri Sep 25 12:32:00 2015 "THECLIENTSIP":38749 TLS Error: TLS object -> incoming plaintext read error […]
是否有可能转发一些请求基于他们的域名到另一台服务器(通过nginx)? 我有一个公共的nginx服务器,通过http和https服务于一些页面(在图片b.com中)。 现在我只能通过nginx服务器访问一个虚拟机,运行一个Apache服务器。 我可以告诉我的nginx服务器将请求(到a.com)转发到10.xxx服务器而不用触摸tls? 通过SNI,nginx应该知道哪个域名被请求? 我没有公共服务器上的a.com证书。
我在CentOS服务器上安装了VSFTP守护进程,使用RSA证书使用显式TLSlogin。 现在,我不能上传超过82K。 有了这个限制的文件,没有问题。 FTP就像一个魅力。 但是,一旦文件达到82k与FileZilla(准确的81,952字节),传输将停止,FTP客户端挂起,直到超时。 FTP客户端控制台: 15:10:21 Command: STOR jquery-1.7.2.min.js 15:10:21 Response: 150 Ok to send data. 15:11:21 Error: Connection timed out 15:11:21 Error: File transfer failed after transferring 82 KB in 60 seconds /var/log/vsftpd.log FTP command: Client "xxxx", "STOR jquery-1.7.2.min.js" FTP response: Client "xxxx", "150 Ok to send data." OK UPLOAD: Client "xxxx", "jquery-1.7.2.min.js", […]
我想弄清楚如何禁用TLSv1和1.1 Nginx,并且只允许1.2上的连接。 这是为了testing的原因,而不是在生产中使用,对于我的生活,我不明白为什么Nginx不会让我这样做。 Nginx SSLconfiguration: ssl on; ssl_protocols TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:!aNULL:!MD5:!kEDH; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security "max-age=262974383; includeSubdomains;"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; 但由于某种原因,Nginx仍然在谈判1.0和1.1的连接。 难道我做错了什么? 我在OpenSSL 1.0.1f的Ubuntu Server 14.04LTS上使用Nginx 1.7.10。
我有一个主机(rhea),我已经安装了一个postfix来转发我的家庭服务器上的电子邮件(tronics24),这是在DSL连接上。 我已经生成了自签名证书:(在rhea上) touch smtpd.key chmod 600 smtpd.key openssl genrsa 1024 > smtpd.key openssl req -new -key smtpd.key -x509 -days 3650 -out smtpd.crt openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 sudo mv smtpd.key /etc/ssl/private/ sudo mv smtpd.crt /etc/ssl/certs/ sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/ 我已经testing了证书: root@rhea:~# openssl s_client -showcerts […]