我已经使用jMeter代理来检查来自我的iPhone的SSLstream量,通过在iPhone上安装jMeter证书,然后configuration我的wifi在手机上使用jMeter代理。 如果我想阻止这个MITM嗅探某个网站/服务器,我可以在服务器上执行TLS 1.2吗? TLS1.2实际上是否防止这种MITM嗅探,如果它贯穿始终?
我正在专用硬件上安装一个CentOS 7安装邮件服务器,我遇到了让Postfix通过Dovecot为SASL设置SMTP连接的问题。 我已经遵循了关于编辑main.cf和master.cf以及Dovecot的.conf文件的每个指南。 其他一切都运行良好。 我已经设立了达夫科特(Dovecot),并且安全地进行了authentication,没有问题。 SMTP工作正常,如果我设置smtpd_tls_auth_only = no但密码显然发送明确。 我已经运行openssl s_client -connect sub.domain.com:25 -starttls smtp来检查,它正确地返回证书,一切似乎是好的。 运行ehlo sub.domain.com之后,返回: 250-sub.domain.com 250-PIPELINING 250-SIZE 20480000 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN 我认为这是TLS“握手”后的预期。 当我尝试使用邮件客户端进行连接时,拖拽日志给了我以下内容: 请参阅粘贴 当我尝试发送时,OS X中的邮件告诉我以下内容: 邮件无法使用默认端口上的SSL连接到服务器“sub.domain.com”。 确认此服务器支持SSL并且您的帐户设置是正确的。 我试图通过所有的标准端口连接。 Roundcube给我一个错误代码250:身份validation失败。 编辑:下面是postconf -n的输出: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = […]
我已经在Windows Server 2008 R2上configuration了IIS,不允许使用TLS 1.0。 我已经通过设置这些registry项来重新启动 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\DisabledByDefault set to 1 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled set to 0 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\DisabledByDefault set to 1 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled set to 0 (as a DWORD) 在客户端,我使用FireFox 48.0和IE 9进行testing。 (我不能使用更高版本的IE浏览器,因为networkingpipe理员的设置被locking)。 这是我如何configurationIE来强制TLS 1.0: 这是我如何configurationFireFox强制TLS 1.0: 我正在使用WireShark来确认正在使用的协议。 这是我在浏览器中强制使用TLS 1.0时的样子: 我还使用了下面build议的OpenSSL命令来确认TLS 1.0仍在使用中: openssl s_client -tls1 -connect […]
我想要分析和logging进出某个机器的SSL / TLSstream量。 具体来说,我想知道有多lessSSL / TLS连接,有多less连接使用TLSv1.2,多less使用旧的SSL / TLS版本,以及在分析过程中使用了哪些域。 我想要在实时stream量上完成这个分析,并且把它写入一个pcap文件。 有没有人知道一个可以轻松完成的工具?
我有一个在Debian上有多个域的nginx服务器。 他们都住在html文件夹中。 然后Alogging指向我的服务器,您可以通过访问https://mywebsite.biz访问/var/www/html/mywebsite.biz的文件。 我也使用Let's Encrypt分配他们的TLS证书。 它看起来像这样: └── html ├── mywebsite.biz ├── anotherwebsite.net ├── example-three.com └── somewebsite.ca 但是,您可以通过我的IP地址访问该html文件夹而无需TLS,如下所示: http://216.58.216.78/mywebsite.biz 但是我也有这样的情况,我希望这样的事情发生。 例如,如果我想设置一个testing站点,然后才能将该域指向我的服务器。 为此,我使用noip.com为其分配一个友好名称,如下所示: http://myservername.ddns.net/somewebsite.ca (只是一个testing网站) 只有一些网站通过IP地址/友好名称拒绝访问的最佳方式是什么? 拒绝/redirect这些: http://myservername.ddns.net/mywebsite.biz http://216.58.216.78/mywebsite.biz 允许这个: http://myservername.ddns.net/somewebsite.ca 我的猜测是在那里redirect它们,但是我对nginx有点新,并且想确保这是最好的方法。
处理configuration相互TLS(客户端证书)时遇到问题的客户。 根据我的经验,TLS客户端身份validation是由服务器拥有证书,并告诉客户端发送由第一个证书签名的证书。 客户端发送一个(与它签署的东西),服务器validation。 客户正试图在服务器的信任存储中使用CA证书。 在他们的情况下,任何人都可以从该CA申请证书。 所以,这不会与上述 – 因为任何人都可以从CA获得身份certificate并连接。 此行为似乎是Java默认值。 在过去,这是我所采取的方法 – 使用中间证书或可以控制的CA。 我知道一个自定义的Java TrustManager可以在客户端上实现发送任何证书,而不pipe它的来源。 我也知道curl会这样做(忽略CertificateRequest中的证书颁发机构)。 使用这种方法,您可以使用身份证书,而不是CA,所以客户端和服务器可以使用相同的证书,而不pipe其来源。 这里最好的做法是什么? 客户是否提出了合理的要求? 我们也有一个Windows服务器来configuration下一个,我不知道它将如何处理这种行为。 编辑: RFC似乎使此行为可选。 certificate_authorities:可接受的certificate_authorities的可分辨名称[X501]的列表,以DER编码格式表示。 这些专有名称可以为根CA或从属CA指定所需的可分辨名称; 因此,这个消息可以用来描述已知的根以及所需的授权空间。 如果certificate_authorities列表为空,则客户端可以发送任何适当ClientCertificateType的证书,除非有相反的外部安排。 https://tools.ietf.org/html/rfc5246#section-7.4.4
CentOS 5 | 发送邮件 TLS证书可以在多个sendmail MTA之间共享吗? 我正在使用CA签名的证书,并且宁愿不为每个额外的sendmail主机购买新的证书。
大家好,我已经安装OpenVPN,并configuration它在我的服务器上,得到所有需要的文件,我有一个手机'诺基亚N900'它有一个OpenVPN小程序,我上传所有的文件到移动和configuration小程序,它连接然后说“tls错误”…任何线索如何解决这个问题或者是什么问题? 我已经在防火墙中添加了端口。 我怎样才能从Windows机器连接到OpenVPN? 谢谢
我一直在试图在我们的Debian服务器上设置Postfix,据我所知,所有的消息都通过Telnet端口25发送。 我完全按照这些说明: http://wiki.debian.org/Postfix http://wiki.debian.org/PostfixAndSASL 然而,我到了“替代TLS / SSL端口”这部分,这之后并没有什么意义。 我想通过SSL 发送电子邮件(我相信在端口465上),除非有另外的select发送encryption的邮件或任何我不需要的原因吗?
我是一个IISpipe理员。 我已经做了最好的,我可以用mod_ssl文档,谷歌等,并找不到任何人甚至遇到我的问题,更没有find一个解决scheme。 当然,这让我怀疑我是否能够正确地理解它,但在WireShark的痕迹中我清楚地看到了这一点。 我有一个缓慢的IIS服务器的竞争条件。 IIS服务器成功TLS连接到我的Apache服务器,并发送一个encryption的请求。 Apache服务器响应成功,IIS服务器通常很高兴并完成。 5秒钟后,Apache服务器发送TLS Rec-Layer-1 Encrypted Alert,TLS会话终止。 然而,现在,当客户端服务器通过现有的开放式TLS通道提交第二个或第三个encryption请求时,协商会变得复杂。 所有这些谈判的1000次999次都是完美无缺的。 千分之一的缓慢IIS服务器需要5秒钟才能决定发送一个额外的encryption请求(TLS应用程序数据)。 发生这种情况时,encryption的请求会通过TLS Rec Layer-1encryption警报,导致“底层连接已closures:连接意外closures”。 我没有看到mod_ssl中的任何指令,允许我延长5秒的会话超时。 我忽略了什么? 我可以修改SSLSessionCacheTimeout指令,但对任何特定对话周围的5秒超时没有影响。 有没有人看过这种行为?