我想按照这个指南在Ubuntu 12.04上设置openldap https://help.ubuntu.com/12.04/serverguide/openldap-server.html 当我试图通过创build一个自签名证书在上面的指南中描述的服务器上启用TLS时,我得到了以下错误 我跑的命令 ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif ldif文件的内容 dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem – add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem – add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem 错误信息 ldap_modify: Inappropriate matching (18) additional info: modify/add: olcTLSCertificateFile: no equality matching rule 经过几个小时的谷歌search,我还没有发现任何说明这个错误的东西。 有没有人有关于此的更多信息?
我只是HTTPS站点上许多SSL / TLS协议用户之一。 出于安全考虑,我希望将TLS协商限制为使用AES密码的TLS1.1。 SSLLabs和OWASP提供了原因。 但我知道,旧的浏览器(WinXP等IE浏览器)将在这种情况下连接到我的网站(谈判将失败,因此没有网站将显示)的问题。 我的问题是,我宁愿为我的访问者提供一个关于更新浏览器的回退页面(在不安全的线路上),而不是把它们留在关于发生什么事情的空白处(并且在帮助台上获取关于此的大量调用)。 当然,这个选项可以启用旧的协议和密码,然后把它们放到一些像下面的链接那样的检疫站点。 然而,这种感觉就像是一种解决方法,为此需要大量额外的工作设备。 https://devcentral.f5.com/questions/how-do-i-restrict-tls-negotiation-to-minimum-tls-v12 我的问题是: 有没有另外一种方法,我不知道在协商失败的情况下将浏览器发送到“回退”页面? 如果没有的话,是否可以在TLS协议版本1.3中join一些东西来解决这个问题? 比如为应用层打开的“回退”解密字段,通过某种方式告知浏览器,如果握手不可能,浏览器就知道应该回退到其他资源。 (也许更多的是IETF的问题,但是因为他们也读这个论坛,所以我只是在这里问:))。
我有兴趣使用ADCS为内部Web应用程序生成可信证书。 然而,从我的阅读看来,我需要购买一个OID,看起来相当昂贵。 有没有办法做到这一点,而不付钱? 这只是在内部使用。
问题: 如何在Azure网站中正确安装和configurationHTTP Strict Transport Security(HSTS)? 显然,IIS的使用方法是安装这个模块: http : //hstsiis.codeplex.com/ 问题是,根据文档,您需要在不同的地方安装几个.dll(HSTS-IIS-Module-2.0.0.msi)。 不幸的是,在Azure网站环境中似乎不可能(如何在Azure网站中安装IIS模块?)? 使用虚拟机可能会工作,但我的问题针对一个常规的Azure网站/ Web应用程序(ASP.NET MVC 5应用程序)。
我想为处理我的电子邮件的域名设置DANE。 我的域名在OVH注册,我正在使用他们的Anycast DNS服务器。 他们支持DNSSEC,但不支持TLSAlogging。 有没有可以使用的回退loggingtypes? (就像我可以使用TXT,如果服务器不支持SPF等)
我目前正在用Apache运行Debian Squeeze服务器。 我的OpenSSL版本是0.9.8,我想起来一个能够运行TLS 1.2的版本。 到目前为止,我的研究表明,这是不可能的,但我觉得我失去了一些东西。 有没有升级的path可以让我这样做,或者我需要用更新版本的Debian重build我的服务器?
我们的安全团队要求我们在运行Apache的一些服务器上完全禁用SSLv3。 我已经使用ssl.conf文件中的SSLProtocol条目(如SSLProtocol ALL-SSLv2-SSLv3)和各种SSLCipherSuite条目尝试完全禁用它,但无济于事。 作为nmap的输出示例,我仍然得到以下内容 Starting Nmap 6.47 ( http://nmap.org ) at 2015-03-01 16:49 Mountain Standard Time Nmap scan report for … Host is up (0.0045s latency). PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | SSLv3: No supported ciphers found <—- | TLSv1.0: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA – strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA […]
我们在我们的网站上不再支持TLS 1.0和1.1,因为它们不再被认为是安全的。 我们如何看到会受到这种变化影响的访问者百分比? (即那些不支持TLS 1.2的访问者)。 我们使用Windows Server 2012 R2 w / IIS8。
当用户在端口80上点击我的SSL / TLS唯一服务器时,我是否应该通告Upgrade Required (426)或redirect与Moved Permanently (301) ? 每种方法的缺点和好处是什么? 据我所知,所有现代浏览器都支持TLS升级。 但是,我看到w3m , lynx等等不这样做; 也不curl , wget和各种机器人。
由于昨天重启,我们的一台虚拟服务器(Debian Lenny,用Xen虚拟化)在尝试通过基于SSH / TLS的协议进行连接时,会不断用尽熵,导致超时等。 有什么方法可以检查哪个进程正在吃掉所有的熵? 编辑: 我试过的: 添加额外的熵源:time_entropyd,rng-tools将随机数回送到随机,伪随机文件访问 – 每秒钟捕获大约1 MiB附加熵,问题仍然存在 通过lsof,netstat和tcpdump检查exception活动 – 什么都不是。 没有明显的负载或任何东西 停止守护进程,重新启动永久会话,重新启动整个虚拟机 – 不会改变行为 到底什么工作: 等候。 从昨天中午开始,就没有连接问题了。 熵值仍然较低(128字节峰值),但TLS / SSH会话已经没有明显的延迟了。 我正在慢慢地将客户切换回TLS(他们全部五个!),但我不希望现在有任何行为改变。 所有的客户现在再次使用TLS,没有问题。 真的,真的很奇怪。