我刚刚在我的whm / cpanel安装程序的主域名上设置了SSL,域名拥有自己的IP,并且全部正常运行。
但是,当浏览Chrome中的网站时,我得到以下内容:
您与example.com的连接使用256位encryption进行encryption。 但是,此页面包含其他不安全的资源。 这些资源可以被他人在transite中查看,并且可以被攻击者修改以改变页面的行为。
连接使用SSL 3.0。
- 防止Amazon S3带宽被窃取?
- 反向代理和SSL,我应该使用相同的证书
- 捡起各种帐户的许多失败的身份validation
- mod_securityconfiguration问题:错误parsing操作:未知操作:ver
- 如何在Windows 2003的ou级别上应用策略
连接使用AES_256_CBCencryption,SHA1用于消息authentication,DHE_RSA用作密钥交换机制。
连接没有被压缩。
连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。
我检查了WHM>服务器configuration> Apacheconfiguration>全局configuration
并按照build议将SSL密码套件设置为以下内容:
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended
我也有以下SSL报告: http : //www.networking4all.com/en/support/tools/site+check/report/?fqdn= https%3A%2F%2Fmostplays.com%2F&protocol= https
当只显示标题的空白html文件时,我也会得到这个错误,所以它不是从外部源包含。
<!DOCTYPE HTML> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Test Secure</title> </head> <body> <h1>Test Secure</h1> </body> </html>
我检查了服务器软件,它使用的是openSSL 0.9.8e,这可能是一个因素吗?
我做错了什么? 有没有更多的设置可以帮助诊断问题?
但是,该页面包含其他不安全的资源。 这些资源可以被他人在transite中查看,并且可以被攻击者修改以改变页面的行为。
在Chrome中打开“开发者工具”面板(视图 – >开发者),然后转到networking选项卡。 它将列出它正在加载的所有内容。 另外,点击右下方的警告/错误图标。 他们将打开错误列表,包括以下消息:
最有可能的是,它将来自广告的框架和内容。 一旦在networking选项卡中find列表中的“违规”资源,“启动器”列应该为您提供有关正在加载的资源的线索。
连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。
确保你有这个(除了SSLCipherSuite
指令):
SSLProtocol all -SSLv2
为了避免这种警告,所有包含的元素(图像,文件等)必须使用HTTPS连接。 查看页面源代码并查找http:// – 可以链接到其他页面( <a href="...
),但不包含文件( <img src="...
等)
以下在httpd.conf
停止了所有的错误:
SSLProtocol -SSLv2 +SSLv3 +TLSv1 SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM