服务器SSLconfiguration停止警告和错误

我刚刚在我的whm / cpanel安装程序的主域名上设置了SSL,域名拥有自己的IP,并且全部正常运行。

但是,当浏览Chrome中的网站时,我得到以下内容:

您与example.com的连接使用256位encryption进行encryption。 但是,此页面包含其他不安全的资源。 这些资源可以被他人在transite中查看,并且可以被攻击者修改以改变页面的行为。

连接使用SSL 3.0。

连接使用AES_256_CBCencryption,SHA1用于消息authentication,DHE_RSA用作密钥交换机制。

连接没有被压缩。

连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。

我检查了WHM>服务器configuration> Apacheconfiguration>全局configuration

并按照build议将SSL密码套件设置为以下内容:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended 

我也有以下SSL报告: http : //www.networking4all.com/en/support/tools/site+check/report/?fqdn= https%3A%2F%2Fmostplays.com%2F&protocol= https

当只显示标题的空白html文件时,我也会得到这个错误,所以它不是从外部源包含。

 <!DOCTYPE HTML> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Test Secure</title> </head> <body> <h1>Test Secure</h1> </body> </html> 

我检查了服务器软件,它使用的是openSSL 0.9.8e,这可能是一个因素吗?

我做错了什么? 有没有更多的设置可以帮助诊断问题?

但是,该页面包含其他不安全的资源。 这些资源可以被他人在transite中查看,并且可以被攻击者修改以改变页面的行为。

在Chrome中打开“开发者工具”面板(视图 – >开发者),然后转到networking选项卡。 它将列出它正在加载的所有内容。 另外,点击右下方的警告/错误图标。 他们将打开错误列表,包括以下消息:

  • 页面显示来自http://的不安全内容…
  • 不安全的JavaScript尝试访问来自具有URL http:// ….的框架的URL https://…/的框架,域,协议和端口必须匹配

最有可能的是,它将来自广告的框架和内容。 一旦在networking选项卡中find列表中的“违规”资源,“启动器”列应该为您提供有关正在加载的资源的线索。

连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。

确保你有这个(除了SSLCipherSuite指令):

 SSLProtocol all -SSLv2 

为了避免这种警告,所有包含的元素(图像,文件等)必须使用HTTPS连接。 查看页面源代码并查找http:// – 可以链接到其他页面( <a href="... ),但不包含文件( <img src="...等)

以下在httpd.conf停止了所有的错误:

 SSLProtocol -SSLv2 +SSLv3 +TLSv1 SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM