我已经使用SSL实验室的SSL服务器testing来testingHTTP服务器的SSL设置,但是它不支持使用SSL的其他情况,比如IMAP。 是否有使用SSL的非HTTP服务器的等效详细testing? 我已经使用SSL购物者的SSL检查器进行基本testing,但没有详细说明它是否正确configuration了“完美转发保密”等。
我正在尝试理解PCI DSS合规性以及与SSL / TLS密码套件有关的FIPS合规性所需的内容。 我一直在阅读这里和这里的指南。 但是,我还没有find任何说明我应该列出密码的顺序或优先级的东西。我可以看到哪些是我需要使用和禁用的,但是我认为应该优先考虑它们好。 这主要是针对Windows服务器的,后来我会考虑对运行Apache的Linux服务器执行相同的操作。
抽象 我需要从多个客户端到Internet上的单个端口的encryption的TCP连接。 这可以用Squid来实现吗? 具体情况 我们在我们公司使用监控和客户端pipe理解决scheme,可通过局域网和VPN访问。 现在应该可以从不使用公司VPN的外部笔记本电脑访问。 通信必须encryption(TLS)。 客户端authentication必须使用客户端证书。 通信由客户端启动,并使用单个TCP端口。 我的调查结果 NGINX Plus似乎提供了这个function,但我们的pipe理员喜欢鱿鱼或阿帕奇。 在鱿鱼维基上,我发现: function:提到TCPencryption的HTTPS(HTTP安全或HTTP over SSL / TLS) 。 但是我也发现这个警告: 注意通过CONNECT传递的协议并不局限于Squid通常处理的协议。 毫不夸张地说,任何使用双向TCP连接的东西都可以通过CONNECT隧道传递。 这就是为什么Squid默认的ACL以拒绝CONNECT!SSL_Ports开始,为什么你必须有一个很好的理由把任何types的允许规则放在它们上面。 类似的问题 此问题使用SSLencryption与squid转发代理的客户端连接是simlar,但不处理反向代理/ TLS终止代理。 我需要知道的 我只有关于这些技术的基本知识,我们的pipe理员要求我提供一般的可行性。 Squid可以用来保存TCP连接的encryption吗? 这可以使用客户端证书进行身份validation来实现吗 还是应该只用于HTTPS连接?
随着POODLE的公告,我希望我的服务器接受SSL3.0连接,但让他们提供一个页面,表明用户应该更新到一个新的浏览器与TLS的支持。 这似乎应该是可能的,因为IIS应该知道哪个密码套件正在使用,但我想不出任何方式来configuration这些信息,以允许托pipe不同的内容或被转发到网站本身做的事情。 有没有办法让IIS根据SSL / TLS协商过程中使用的密码套件进行redirect?还是有一种方法可以使密码套件可用于网站?
可能重复: 同一IP地址和同一端口上有多个SSL域? 我正在开发一个Web应用程序,必须必须使用HTTPS。 虽然价格便宜,但我真的不需要(或者想要支付)我自己的专用IP地址,除了TLS所需的IP地址。 除了现代networking浏览器支持TLS的扩展,允许许多域名在一个IP之后运行。 (感觉就像我们回到了90年代中期,当时许多浏览器都支持HTTP 1.1主机头,但是还不够)。 世界是否准备好依赖这个TLS扩展的网站,还是应该为专用IP付费?
我有Dreamhost的链接证书,可以在所有的浏览器上运行。 我有2个来自dreamhost,example.com和sub.example.com的2个站点。 除了IE6,7和8(在XP上,还没有尝试过其他的操作系统),所有的浏览器都可以在这两个站点上获得证书。 IE浏览器对于example.com来说很好,但是它认为sub.example.com正在尝试使用example.com的证书。 查看Firefox 3中的指纹,Firefox正在为每个域使用正确的证书。 看看IE中的指纹,它使用example.com证书而不是sub.example.com证书。 (这个部分对我来说真的很奇怪 – IE正在走上一个领域,拿到错误的证书?) 我正在使用nginx。 让我知道你是否想要更多的信息。 谢谢!
我正在使用java 1.6. 我已经安装我的tomcat作为我的ssl启用服务器。 我已经build立了一个SSL客户端(Java代码)。 当我做我的客户端到服务器的通信。 在Tomcat日志中的java ssl转储中,我总是看到TLSv1被我的客户端和服务器选为SSL协议版本。 有没有办法可以切换SSLv3和TLSv1协议安全连接? 我如何使用SSLv3进行客户端服务器通信? 提前致谢!
在撰写本文时(第二天),关于如何缓解Apache和其他Web服务器(如本页面)的Logjam,几乎没有准确的指导原则: https://weakdh.org/sysadmin.html OpenVPN服务器的类似说明是什么? OpenVPN是否受到影响? (我猜是的,因为这是一个TLS协议问题)。
我有一个2008年DC和一个2008 AD CS服务器和Windows 7客户端。 我想要的是当RDP到服务器时需要使用证书。 证书是有效的,如果我使用FQDN连接,则显示我已经按照预期通过了证书和Kerberos的身份validation。 当我只连接主机名,我被允许连接,并且只能通过Kerberos进行身份validation,即使我在要RLS的服务器上设置Require TLS 1.0。 我完全理解证书将无效,除非通过FQDN访问服务器,我想要做的是不允许不使用证书和Kerberos的连接。 我认为设置需要TLS 1.0会做到这一点。 我错过了什么?
一位开发人员最近用我们的LAMP服务器运行了带有TripWire的PCI扫描。 他们确定了几个问题,并指示以下几点来纠正这些问题: 问题:SSL服务器支持SSLv3,TLSv1, 解决scheme:将以下规则添加到httpd.conf SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM 问题:SSL服务器支持SSLv3,TLSv1的CBC密码 解决scheme:禁用任何使用CBC密码的密码套件 问题:SSL服务器支持SSLv3,TLSv1的弱MACalgorithm 解决scheme:禁用任何使用基于MD5的MACalgorithm的密码套件 我试图search谷歌全面的教程如何构build一个SSLCipherSuite指令,以满足我的要求,但我没有find任何我能理解的。 我看到SSLCipherSuite指令的例子,但是我需要解释指令的每个组件。 所以即使在指令SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM ,我不明白例如!LOW意思。 有人可以a)告诉我SSLCipherSuite指令,将满足我的需求或b)给我一个资源,清楚地解释了SSLCipherSuite的每个部分是如何构build一个?