我正在寻找可以帮助检测在中心位置使用弱encryption或过时协议的应用程序的软件。 对不起,如果这听起来模糊。 也许一个例子会有所帮助。 我们来看看通过https连接到某个网站的浏览器。 但由于某种原因,协商密码是弱的,低于某个阈值,我们假设有一些56位的密码。 或者该协议是SSL 2.0或任何“低于”TLS 1.0。 有什么软件可以监视服务器或路由器上的networkingstream量,并显示警告或采取一些其他的行动,如果这样的事情发生? 它不一定是完美的,它可以是启发式的; 每一个信息的帮助。 我不想在每个执行技术上是中间人攻击的客户端上安装软件。 编辑:我不是在寻找一个工具,探测一个特定的服务器,但对我们的服务器/路由器上运行的工具,并提出了一些警告,当“另一个客户端”build立一个不安全的连接到互联网上的“某些服务器”。 是的,我知道这是不太可能的……但是希望是最后的死亡。
完全向前保密是对SSL / TLS通信的重要增强,有助于防止捕获的SSLstream量被解密,即使攻击者拥有私钥。 支持Web服务器非常简单,但也适用于任何其他SSL上下文,如用于SMTP,POP3和IMAP的邮件服务器。 最近(2014年9月),这个数据保护机构已经开始在德国开展业务,在那里数据保护机构已经开始检查和罚款那些不支持邮件服务器上的PFS的组织 ,还有心跳和贵宾犬漏洞。 Web浏览器中的PFS支持有点不统一,虽然所有主要的支持它 – 但是我正在寻找邮件服务器和客户端上的PFS兼容性信息,理想的情况是SSL Labs的握手testing提供的,但对于邮件服务器。 任何人都可以提供或指向我的邮件服务器PFS兼容性的良好来源? 为了澄清,我不想询问特定的服务器,而是在各种不同的服务器上查看这种testing的结果,例如,知道Outlook 2003不支持ECDHE或Android 2不允许大于2048位的DH参数(我不知道这些是否为真,它们只是例子)。 这样做的好处是要知道,如果我select禁用某些特定的密码,哪些客户端可能会受到影响,就像SSL实验室testing为Web客户端显示的一样。
试图使用Zend的邮件smtp发送来自我的PHP应用程序loginauthentication的电子邮件,并给我这个不断的错误,我不必处理我在这里查看de-36问题在serverfault.com上更改参数,因为他们解释没有成功。 数据: 我的POSTFIX版本2.6.6 我在Centos 6.5上 我试图用Dovecot-sasl来使用Postfix和Dovecot 我的用户是虚拟创build的 我可以通过端口25和587上的telnet发送邮件 5000是我的POSTFIX用户 我正在testing我的应用程序(如果有帮助的话)在bl.spamcannibal.org上列出b.barracudacentral.org pbl.spamhaus.org和zend.spamhaus.org 我的ip服务器没有列出 telnet到587是这样的: Trying ::1… telnet: connect to address ::1: Connection refused Trying 127.0.0.1… Connected to localhost. Escape character is '^]'. 220 mail.mydomain.com ESMTP Postfix ehlo localhost 250-mail.mydomain.com 250-PIPELINING 250-SIZE 10485760 250-VRFY 250-ETRN 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN testing我的ssl: openssl s_client -starttls smtp -crlf -connect […]
我想在Windows Server 2012中禁用RC4。从这个链接 ,我应该禁用registry项或RC * [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC*] 但我无法find任何东西 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ 任何想法? 我也检查了安全更新编号2868725,并没有在Windows更新历史中find它,尽pipe它是最新的。
由于主要浏览器不推荐使用SHA1证书,获得SHA2签名证书似乎是明智之举。 但是这样做会阻止IE6用户。 虽然对于大多数人来说这在某些情况下不会成为问题,但可能会阻碍重要的用户。 看一下SSL握手 ,客户端发送它支持的细节。 所以在理论上,服务器可以发送客户端将支持的证书。 较新的浏览器将得到一个SHA2签名的一个和更老的SHA1。 但是看起来好像有没有办法通过nginxconfiguration来做到这一点。 虽然您可以设置密码和协议的版本,但您不能通过任何逻辑来确定如何使用不同的客户端configuration。 有没有办法根据客户端支持不同的证书服务器?
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用Kerberos进行身份validation,并使用LDAP(通过sssd )来识别用户。我通过ELB通过多个代理服务器连接到简单AD。 问题 当我将ELBconfiguration为使用TLS作为Kerberos端口时, sssd无法连接到Kerberos服务器,login失败。 没有TLS,它工作得很好,一旦我login没有TLS的证书caching和login继续工作时,我再次打开TLS。 RFC 6251介绍了如何通过TLS传输Kerberos V5,所以假设这应该是可能的,对吗? 我不确定我是否没有正确地执行此操作,或者如果sssd不支持通过TLS的Kerberos。 谷歌search没有产生任何成果,手册页没有任何看似与他们有关的东西。 请注意,我的LDAPS通过ELB完美工作,所以我至less知道我并不完全偏离轨道。 TL; DR如何回答我的问题 告诉我: 在通过TLS或Kerberos设置Kerberos时,我所做的是错误的 sssd不支持通过TLS的Kerberos 错误信息 这是从sssd的输出。 请注意,我编辑了IP地址。 (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307171: Sending request (218 bytes) to MYTEAM.MYCOMPANY.INTERNAL (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307390: Initiating […]
我有一个奇怪的问题。 更新我的LAMP开发机器(Debian)到PHP 7.之后,我无法通过Curl连接到特定的TLSencryptionAPI。 有问题的SSL证书是由thawte签署的。 curl https://example.com 给我 curl: (60) SSL certificate problem: unable to get local issuer certificate 而 curl https://thawte.com 当然这也是Thawte的作品。 我可以通过其他机器上的HTTPS访问API网站,例如我的桌面通过curl和浏览器。 所以证书是有效的。 SSL实验室的评级是A. 从我的开发机器到其他SSLencryption站点的任何其他curl请求的工作。 我的根证书是最新的。 为了validation,我运行了update-ca-certificates 。 我甚至将http://curl.haxx.se/ca/cacert.pem下载到/ etc / ssl / certs并运行c_rehash 。 还是一样的错误。 有没有办法debuggingvalidation过程,看看哪些本地发行者证书curl(或openssl)正在寻找,但没有find,即文件名? UPDATE curl -vs https://example.com 告诉我(IP +域名匿名) * Hostname was NOT found in DNS cache * Trying 192.0.2.1… […]
我运行Monit来检查Debian服务器上的进程。 对于所有其他服务(Apache SSL,Postfix,SSH等),其正常工作,但是对于Dovecot的Monit检查失败了。 我认为这可能已经开始安装一些软件包更新后,但我不知道什么时候。 由于电子邮件仍在工作,Dovecot正在为客户端连接正常工作。 我已经尝试用open_ssl s_client进行testing,对于SSLv3,TLS1.1和TLS1.2来说,这一切看起来都不错。 / etc / monit / monitrc check process dovecot with pidfile /run/dovecot/master.pid start program = "/usr/sbin/service dovecot start" stop program = "/usr/sbin/service dovecot stop" if failed port 993 type tcpssl sslauto protocol imap then unmonitor部分: check process dovecot with pidfile /run/dovecot/master.pid start program = "/usr/sbin/service dovecot start" stop […]
在TCP连接上使用SSL有没有带宽开销? 我理解,当然,encryption和解密数据包时的处理/内存使用开销,但就带宽而言,有什么区别? 例如,给定一个64KB的XML文件,通过HTTP与HTTPS的文件传输大小是否有任何实际的差异? (当然,忽略mod_deflate和mod_gzip )
在运行Debian Wheezy的面向Internet的Postfix SMTP服务器上,我想与一些已知的服务器build立安全连接。 有些是我自己的,运行我自己的PKI / CA,有些是公共SMTP服务器,如Google的Gmail服务器。 为了检查我正在运行的服务器上的证书,我已经指定了 smtp_tls_CAfile = /usr/local/share/ca-certificates/Gert_van_Dijk_Root_CA_2014.crt 并确保公共服务器也可以通过内置的系统证书库进行validation,我明确指定了 tls_append_default_CA = yes 为了确保Postfix正确validation证书,我已经将全局TLS安全级别设置为“安全”。 在完成debugging此处所述的问题后,我会将其更改回“可能”,以便在某些域中secure smtp_tls_policy_maps 。 smtp_tls_security_level = secure 它validation我自己的服务器就好! 这些都使用由Gert_van_Dijk_Root_CA_2014.crt签名的证书运行。 但是,当SMTP客户端尝试向Google的SMTP服务器发送邮件时,它实际上并没有通过tls_append_default_CA设置追加证书。 我期望它在Debian上附加来自/etc/ssl/certs文件。 postfix/smtp[32271]: effective TLS level: secure […] postfix/smtp[32271]: < alt1.gmail-smtp-in.l.google.com[64.233.164.26]:25: 220 2.0.0 Ready to start TLS […] postfix/smtp[32271]: DE6D0403EB: Server certificate not verified 以下是我所尝试的: 在master.cf为smtp客户端禁用chroot,如下所示: smtp unix – – n – […]