Articles of tls

如何检查客户端是否通过TLS或SSL连接到IMAP / POP?

我愿意在我的鸽舍服务器(Debian GNU / Linux)上禁用SSL,只剩下TLS作为唯一的select。 在此之前,我想知道谁仍然通过SSL连接到较旧或错误configuration的客户端,以便警告他们并协助迁移到支持TLS的应用程序。 有没有办法从服务器日志(或任何其他方式)告诉谁仍在使用SSL?

邮件服务器没有被TLS诊断工具拾取

我有mail.luken-tech.pl邮件服务器。 任何人都可以解释如何: https : //www.ssllabs.com/ssltest/analyze.html?d=mail.luken-tech.pl&hideResults=on显示“评估失败:无法连接到服务器”,这: http:/ / /www.checktls.com/perl/TestReceiver.pl给我“无法连接到服务器(原因:连接被拒绝)”。 但是这个: openssl s_client -starttls smtp -connect mail.luken-tech.pl:587 -tls1 -ign_eof openssl s_client -starttls smtp -connect mail.luken-tech.pl:587 -tls1_1 -ign_eof openssl s_client -starttls smtp -connect mail.luken-tech.pl:587 -tls1_2 -ign_eof 工作得很好,我的服务器一般似乎工作正常? :)为什么任何testing工具不能连接到我的smtp? 它困扰我,因为我configuration了一台服务器之前,我没有这样的事情。 我应该关心这个吗?

为什么我不收到Postfix转发的电子邮件?

我希望的Postfixconfiguration是根据虚拟别名转发所有传入的邮件,并能够通过SMTP和TLS发送传出邮件。 发送已经工作,但转发不。 当我从myname@gmail.com发送邮件到test@mydomain1.com它应该被转发回Gmail帐户。 但是,我没有收到Gmail中的邮件。 我不完全知道如何阅读日志,但似乎改写作品和邮件也被发送出去。 在/ var /日志/ maillog的 Jul 9 18:17:11 sXXXXXXXX postfix/postfix-script[17039]: starting the Postfix mail system Jul 9 18:17:12 sXXXXXXXX postfix/master[17040]: daemon started — version 2.6.6, configuration /etc/postfix Jul 9 18:18:12 sXXXXXXXX postfix/smtpd[17061]: connect from mail-lb0-f169.google.com[209.85.217.169] Jul 9 18:18:12 sXXXXXXXX postfix/smtpd[17061]: F2C3543B8114: client=mail-lb0-f169.google.com[209.85.217.169] Jul 9 18:18:13 sXXXXXXXX postfix/cleanup[17066]: F2C3543B8114: message-id=<CAGRzetbJ85Ss5FdSn6g=HV5HrCO9=HnZTx1w+4qVfH-r0LfaOQ@mail.gmail.com> Jul 9 […]

TLS-PSK与TLS-PKI

我已经读过,一旦TLS-PSKencryption与TLS-PKI同等安全。 两者的安全级别取决于input的用于configurationencryption的数据。 你能确认吗? 以下是我感兴趣的要点: TLS-PKI和TLS-PSK有什么区别? 哪个encryption标准更安全,为什么? 如果我希望保护我对服务器的访问权限,TLS-PSK就足够了吗? TLS-PSK的configuration速度要快得多。 谢谢。

修复我的Web服务器上的安全漏洞

完全披露:我基本上对web安全事务一无所知。 我是一个自学成才的网站pipe理员,我pipe理lifering.org,一个WordPress网站,作为志愿者的长期恢复。 我们想使网站HTTPS,但我的尝试总是给我一个错误,我仍然使用TLS 1.0。 我知道足够的知道,不会这样做。 我也知道,当我们更新我们的安全证书时,我们购买了256位encryption的SHA-2证书。 捅了一下,我find了一个网站https://www.ssllabs.com/ssltest/analyze.html ,它分析了lifering.org并给了它一个F.你可以通过在该网站上input域来看到详细的分析,但是总之,它说证书是金的,但是这个网站有这些缺陷: 它不支持所有浏览器的前向保密。 它接受RC4密码,但只能使用较旧的协议版本。 它不支持TLS 1.2,只有较旧的协议(1.1支持最高)。 它支持弱Diffie-Hellman密钥交换参数(logjam)。 它支持512位导出套件,可能容易受到FREAK攻击。 我需要知道如何解决这些问题。 这是一个Apacheconfiguration问题,或者是什么? 我通常会问我的ISP的帮助,但我们有一个由GoDaddy托pipe的虚拟服务器,这意味着我们得到零技术支持,除非我们支付费用,我们不能(作为一个小的非营利组织)负担。 幸运的是,我有足够的Unix后台能够处理SSH shell,但我不知道该怎么做,或者在哪里做。

Nginx TLS性能优化

我上个星期把一个繁忙的站点切换到了TLS,而且是HTTP / 2。 绩效并没有像预期的那样有所提高。 事实上,取决于你如何衡量,你可以说它已经退化了。 有足够的空间来进一步优化服务器,在操作系统级别的TCP调整,在networking堆栈中的TLSconfiguration等。为了确保我没有忽略任何改进的地方,我在这里张贴我的思路为他人鸣钟在。 目前,SSL conf就是这样显示的。 各方控制着这方面的各种要素,我没有直接控制这一切。 域名审查。 $ openssl s_client -state -CAfile Documents/Thawte\ Server\ CA.cer -connect xxxxxx.tld:443 CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root verify error:num=19:self signed certificate in certificate chain verify return:0 SSL_connect:SSLv3 read server certificate […]

Apache上的SSLconfiguration

我有一个OpenSSL / 1.0.1s的Apache / 2.4.18服务器。 我使用Mozilla SSLconfiguration生成器来生成SSLconfiguration: SSLProtocol all -SSLv3 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on SSLCompression off SSLSessionTickets off SSL实验室testing给出这些消息: The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C. The server does not support Forward Secrecy with the reference browsers. 而且,在“握手模拟”中,它给出了这样的信息: Apple ATS 9 / iOS 9 R […]

在电子邮件发送中使用TLS

我已经configuration了我的服务器(Debian Linux上的Exim),只发送电子邮件(使用SMTP)到接受TLS的电子邮件服务器。 我这样做,以便没有人可以窃取密码提醒电子邮件。 正确的决定? 现在(2016年4月)几乎所有的电子邮件服务器都接受SMTP中的TLS?

设置registry项并重新启动Windows 2008 R2后,仍然启用SSL 3

我已经搜遍了,似乎无法find答案。 我正在尝试禁用SSL 3.0,并在使用IIS 7.5的Windows 2008 R2服务器上启用TLS 1.1和TLS 1.2。 我做了所有必要的registry更改并重新启动了服务器多次,但ssllabs.com仍然报告SSL3与TLS1.1和TLS1.2closures。 我也使用IISCrypto来重新启动后使用相同的结果。 我已经在所有其他服务器上成功完成了这项工作,但是此服务器不会进行更改。 有任何想法吗? 谢谢,James O.

在邮件服务器上为TLS检查哪个DNS名称?

假设我有这些logging: 一个mail.somedomain:127.0.0.1 一个mail.mailserverdomain:127.0.0.1 MX somedomain:mail.somedomain MTA连接mail.somedomain用于将邮件发送到某个mail.mailserverdomain ,并获取mail.mailserverdomain提供的证书,并且MTA将其主机名显示为HELO mail.mailserverdomain 。 这是一个有效的TLS会话或这是否意味着一个错误的主机名证书(expect somedomain或reverse.somedomain )?