Tag: ssl

为什么不能openSSLvalidation谷歌的证书?

当我从Debian VM运行命令openssl -connect www.google.com:443 ,输出内容如下: validation返回码:20(无法获得本地签发人证书) 这里发生了什么? 我从来没有与Google的证书问题,所以它必须是与Debian或它的OpenSSL库。 当像这样的工具不能validation我知道工作的系统时,debugging其他SSL系统是困难的!

使用SSL的Chrome浏览器的“连接不被压缩”

我在Ubuntu 10.04LTS上运行带有SSL的nginx。 当我检查证书时,Chrome给了我这个恼人的警告: The connection is not compressed. 在响应中,它看起来像是正在发送gzipped: Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Connection:keep-alive Content-Encoding:gzip Content-Type:text/html; charset=utf-8 Date:Sun, 12 Feb 2012 09:00:38 GMT Expires:Thu, 19 Nov 1981 08:52:00 GMT Pragma:no-cache Server:nginx/1.0.5 Transfer-Encoding:chunked Vary:Accept-Encoding X-Powered-By:PHP/5.3.6-13ubuntu3.3`

了解服务器到服务器的SSL

在这个问题上会有很多的无知,请耐心等待: 我对标准浏览器 – 客户端到服务器SSL连接的理解包括: 浏览器通过HTTPS连接到服务器 浏览器请求服务器SSL证书 浏览器根据颁发该证书的第三方CA(证书颁发机构)validation证书。 浏览器和服务器通过一个开放的SSL连接进行通话,并且在build立新的连接(即下一个回传)之前不再需要/下载证书。 如果我已经弄坏了它,那么纠正我到目前为止,但现在我试图包围我的头,当SSL连接是从一个服务器作为客户端到另一个服务器充当服务器,而PHP是打电话。 它基本上是一样的过程吗? 客户端服务器是否经历了与浏览器客户端相同的步骤? 在apache环境下,客户端服务器是否需要以某种方式设置?

我应该如何处理我网站上的混合内容警告?

我的服务器configuration为仅使用HTTPS; 这工作正常。 但是,当我访问该网站时,我在Firefox中(在URL栏旁边)看到这条消息: Firefox正在阻止此页面上的内容 即使内容被阻止,大多数网站也能正常工作。 不安全的内容 本网站上一些未encryption的元素已被封锁。 该网站工作正常,我只是讨厌有这个信息,不知道这是什么意思。 有什么方法可以确定什么是被阻止? 我尝试closures网站上的某些function,但无法find造成这种情况的原因。 这只发生在Firefox。 Chrome浏览器不显示错误消息。 Firebug说: Blocked loading mixed active content "http://jqueryapi.info/?getsrc=ok&ref=https%3A%2F%2Fexample.com%2F" 这似乎是由JavaScript混淆造成的。 如果我将JavaScript代码更改为正常,这不会发生。 所以现在我想知道有没有办法绕过这个?

如何在Postfix 2.11中强制自己的一组密码?

我想强制一套自己的TLS密码套件,而不是使用内置的Postfix。 我期望的一组密码是(取自nginxconfiguration): ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA 不幸的是,我找不到一个引用来覆盖密码套件。 我发现这是可能的,但不是如何。 如何看起来像smtp和smtpd等效的Postfixconfiguration? 使用Debian / 7,Postfix / 2.11.2,OpenSSL / 1.0.1e

如何使其在本地networking中使用证书locking(HPKP)和自签名证书?

我需要在本地networking中使用SSL,我想避免浏览器无效的证书错误。 我的想法是生成自签名证书,然后使用证书locking(HPKP),以告诉浏览器只有这个证书可以信任? 我目前正在探索与这个想法有关的所有选项。 我已经用一个自签名证书和HPKP头(Public-Key-Pins)进行了testing,如下所示: "pin-sha256="somedataencodedbase64=";pin-max-age=10;includeSubDomains" 浏览器不接受它作为一个安全的。 我仍然需要完成这个testing(不同的自签名证书,我需要确保SPKI计算正确… 现在的问题是: 是否为给定的本地主机名称(例如mylocalserver)发出自签名证书,并且在服务器响应中固定甚至有效? 这甚至会工作吗? 证书固定工作的本地主机名称(这将意味着,它只适用于域名)? 固定的证书是否必须首先有效或由CA(这意味着自签名的证书不能固定 – 除非它们被添加到客户端上的信任存储)? 在本地有一个有效的SSL最简单的另一种方法是什么,所以我不需要configuration客户端(客户端信任存储)? 我们可以看到证书locking作为可信任的CA的替代? 我读的地方只是另外所以这意味着证书链需要先有效,然后你可以钉住它? 如果这个想法能够实现的话,我也越来越想。 因为那样我们会看到更多的使用这种技术。 每个人都可以生成自签名证书,只需将其插入即可…并且可以节省CA可信证书上的less量费用……或者我对整个概念有错误或正确的看法?

如何最好地将SSL设置为与负载均衡器后面的多个Amazon EC2服务器实例一起使用?

所以,我在AWS负载平衡器后面运行了三个EC2实例。 我想购买一个SSL证书来使用这些机器。 我应该只购买负载平衡器的公共IP地址的证书,并在每台机器上安装证书? 这会工作吗?

如何使Apache 80端口安全?

我有远程VPS上的apache服务器。 我只有端口80和443打开。 我目前使用SSH的端口443和HTTP的80。 我想让端口80使用HTTPS而不是HTTP。 我看到的所有解决scheme都是像这样将HTTPredirect到HTTPS: Redirect permanent / https://mywebsite.com/ 但我不认为这会奏效。

DNS CNAMEs – 客户端是否实际redirect?

我相信这是一个简单的问题,我提前感谢你为我清理它。 使用这个例子: foo.domain.com CNAME bar.example.com bar.example.com A 192.168.1.19 客户端在浏览器中请求foo.domain.com。 该名称查找是否简单地parsing为192.168.1.19,并且他们的请求是由主机头foo.domain.com在该地址的服务器? 或者他们实际上是redirect的,他们的请求是由主机头bar.example.com? 我是否需要configuration服务器来侦听新的主机名(foo.domain.com),以及有效的SSL证书等? 或者bar.example.com的现有configuration是否足够?

我需要在LAMP中为HTTPS网站configuration端口80吗?

我有一个LAMPnetworking服务器,并有https://sslhosting.cz/域。 首先我附上一个一般的Let's Encryptconfiguration文件,我改变了我的需要: /etc/letsencrypt/options-ssl-apache.conf # Baseline setting to Include for all Let's Encrypt SSL sites SSLEngine on # Intermediate configuration, tweak to your needs SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDH$ SSLHonorCipherOrder on SSLCompression off SSLOptions +StrictRequire # Add vhost name to log entries: LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined LogFormat […]

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.