我有一个networking服务器,我已经启用了apache2 ssl / tls。 所以我可以通过“ https:// IPADDR ”访问我的网站。 但我也可以访问只是“ http:// IPADDR ”。 是否有可能阻止非ssl / tls使用来自服务器端的html连接请求? (类似于apache2的更多configuration)
我可以收到来自gmail的电子邮件,但某些其他服务器在尝试将电子邮件发送到我的服务器时被拒绝 当我试图从startcom.org获得authentication时,以及其他一些服务器试图在前一天给我发送一些东西。 Oct 11 05:26:54 snw postfix/smtpd[2342]: connect from 118-161-77-187.dynamic.hinet.net[118.161.77.187] Oct 11 05:26:55 snw postfix/smtpd[2342]: NOQUEUE: reject: RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]: 454 4.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<159.8.48.206> Oct 11 05:26:56 snw postfix/smtpd[2342]: lost connection after RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187] Oct 11 05:26:56 snw postfix/smtpd[2342]: disconnect from 118-161-77-187.dynamic.hinet.net[118.161.77.187] Oct 11 05:30:16 snw postfix/anvil[2344]: statistics: […]
经过一些互联网search之后,我确定在SSL连接之前发送的HTTP请求指示浏览器注册该域的IP地址。 因此,任何强制redirect将随后使用原始证书。 ^我的上述理解是否正确? 有人可以告诉我在HTTP请求中发生这种情况吗? 我有一个Apache2服务器,并强制从旧的https域redirect到一个新的https域。 无论我尝试什么设置,都会造成问题。 如果我在redirect上使用旧证书:这导致在新域中使用旧证书。 如果我在redirect上使用新的证书:这导致在旧的域上使用新的证书。 两者都导致SSL安全exception。 我正在使用没有SANfunction的标准通配符证书。 现在,我不得不build立一个新的服务器来做到这一点,而不会收到来自浏览器的安全exception。
我已经使用certbot为我的域创build了一个让我们encryption的证书。 我已经确保包含www和一些(需要的)子域名,所以证书应该对非www和www有效: domain.com www.domain.com sub1.domain.com … 但事实并非如此,如果我尝试访问https://domain.com,它会抛出一个SSL错误。 在证书查看器(通过www访问时),我可以看到通用名称(CA)domain.com。 证书主题备用名称包含非www和www … 所以我不明白为什么会出现这个错误: domain.com uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER 我确实生成了自签名证书,但是对于默认的虚拟主机块(httpd-ssl.conf中的那个),其他块正在使用我们的encryption证书。 我也确保删除了Firefox的caching。 我做了一个例外,现在每次写https://domain.com时都会redirect到https://www.domain.com 。 我使用Apache 2.4.23,我的vhostsconfiguration如下: <VirtualHosts *:80> Servername domain.com Redirect permanent / https://www.domain.com/ </VirtualHosts> <VirtualHost *:443> ServerName domain.com:443 Redirect permanent / https://www.domain.com:443/ </VirtualHost> <VirtualHost *:PORT> […]
是否有一个合理的方法来build立基于捕获的数据包的SSL密码使用统计信息? 假设我的Web服务器支持一组密码,我想知道有多less客户端协商每个密码套件。
Mozilla提供了一个在Mozilla SSLconfiguration生成器中生成服务器configuration的工具。 对于Amazon Elastic Load Balancing (ELB),configuration似乎没有“使用服务器首选项”的设置。 “使用服务器首选项”是一个重要的服务器端选项,因为它确保服务器使用密码套件的select(与使用客户端的密码套件相反)(以它们的交集为模)。 在Apache中,设置是SSLHonorCipherOrder 。 在OpenSSL中,设置是SSL_OP_CIPHER_SERVER_PREFERENCE 。 什么是ELB设置,以确保服务器使用密码套件的偏好?
我的任务是configuration一个IIS7服务器来接受TLS 1.0 HTTPS连接。 我已经拿出了我推断出的TLS 1.0的密码套件列表。 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA 我已经把这个列表放在下面的策略框中:Computer Configuration | pipe理模板| networking| SSLconfiguration设置| SSL密码套件顺序 这足够吗? 我列表中的任何套件都不是TLS 1.0吗? 是否还有IIS7支持的任何其他TLS 1.0套件不在列表中? 顺便说一下,服务器是Windows Server 2008 R2。 谢谢
我的网站使用CloudFlare的通用SSL,我希望浏览器自动redirect到HTTPS。 但是,由于并非所有浏览器都支持SSL cloudflare使用的types ,我不想直接强制使用SSL。 所以HSTS似乎是一个不错的select。 但是,当我在浏览器中testing它时,它并不像我预期的那样工作。 在我的网站configuration文件中,我有这样的一行: server { … listen 443 ssl; add_header Strict-Transport-Security max-age=63072000; … } 它显示在响应标题中: Strict-Transport-Security: max-age=63072000 但是,Windows 10和OS X 10.10.3上的Firefox 35和Chrome 41仍然会在HTTP上导航站点,而不会redirect到HTTPS。 我正在使用在CentOS 7上运行的NGINX版本1.7.3。
我正在build立一个个人服务器。 我希望能够从任何地方访问此服务器,并且我不希望此服务器被阻止。 这是我的理解,HTTPSencryption我的stream量,但我也听说,它并没有完全encryption它。 我听说如果你去一个有域名的网站,DNS查询是不encryption的,因此一个ISP可以找出我的个人服务器在哪个域上(以及它是什么IP)。 但是,如果我从它的IP地址访问我的服务器呢? 问题:如果我通过IP地址访问服务器,并且使用HTTPS(所以URL类似于https://###.###.###.###/ ),是不是任何人 (包括互联网服务提供商和“跟我一样的路由器”后面的人)都可以找出我正在访问的服务器的IP地址吗? 如果是这样,我应该使用SSL1 / SSL2 / SSL3还是应该使用TLS1 / TLS1.1 / TLS1.2或者没有关系? 顺便说一下,服务器的证书是自签名的,只能在端口443(HTTPS)上访问该服务器。
我一直在与古代的GNU Mailutils 0.6战斗了很长一段时间。 我应该从这个版本设置IMAP4d服务来进行IT安全性练习。 我可能不会更新程序,但我可以根据自己的喜好进行configuration。 到目前为止,我设法让服务在我的虚拟机上运行,但是所有的stream量都以明文forms传输,包括用户名和密码。 当然,这对安全性没有好处。 看来Mailutils 0.6已经支持TLS,所以我想启用它的服务。 但我不知道该怎么做。 我发现这个版本的唯一的文档就是源代码(从这里 )。 有一章关于encryption,但它不是很有帮助: 这些选项控制imap4d和pop3d守护进程中的TLS / SSLencryption。 –ssl-cert {file} 此选项指定服务器端SSL证书的文件名(接受PEM格式)。 –ssl-key {file} 此选项指定服务器端专用SSL密钥的文件名(接受PEM格式)。 密钥必须以0600文件权限保护(u = rw,g =,o =),否则imap4d或pop3d守护进程将拒绝支持TLS / SSLencryption。 –ssl-cafile {文件} 此选项指定一个包含可信CA列表(PEM列表)的文件,以validation客户端的证书。 该选项不是必需的。 至less这告诉我,IMAP4d真的有TLS支持。 但不是如何使用它。 我找不到文档中的其他内容。 我到目前为止所做的: – 下载源代码,编译并安装它 ./configure –with-gnutls make make install – 创build一个configuration文件mailutils.rc (我不知道最后一行): :mailbox –mail-spool /var/spool/mail :logging –log-facility mail imap4d –ssl-cert […]