คำถามติดแท็ก https

ฉันได้กำหนดค่า AWS ELB ให้ชี้ไปที่เซิร์ฟเวอร์ Ubuntu ที่ใช้งาน Wordpress 3.2.1 ทุกอย่างทำงานได้ดีบนเซิร์ฟเวอร์จนกว่าฉันจะวางไว้ด้านหลังตัวโหลดบาลานซ์ ฉันตั้งค่าตัวโหลดบาลานซ์เพื่อส่งต่อพอร์ต 80 ไปยังพอร์ต 80 และพอร์ต 443 ไปยังพอร์ต 80 ฉันตั้งค่าไฟล์โฮสต์เสมือนของฉันเพื่อตรวจสอบส่วนหัวจาก elb: RewriteEngine เมื่อ RewriteCond% {HTTP: X-Forwarded-Proto}! https RewriteRule! / สถานะhttps: //% {SERVER_NAME}% {REQUEST_URI} [L, R] ตอนนี้เมื่อใดก็ตามที่ฉันไปที่ URL ที่ฉันได้รับข้อความนี้: หน้าเว็บนี้มีการวนรอบการเปลี่ยนเส้นทาง หน้าเว็บที่https://mywebsite.com/securepage/ส่งผลให้มีการเปลี่ยนเส้นทางมากเกินไป ทันทีที่ฉันปิดการใช้งานปลั๊กอิน wordpress https ( http://wordpress.org/extend/plugins/wordpress-https/ ) หน้าเว็บทำงาน แต่ตอนนี้เต็มไปด้วยเนื้อหาผสม หน้าที่ควรจะเป็น https จะไม่มีอีกต่อไป ทันทีที่ฉันเข้าถึงเซิร์ฟเวอร์โดยตรงแทนที่จะใช้ …

11 https  wordpress  amazon-web-services  amazon-elb 

ฉันได้รับข้อผิดพลาด 421 ต่อไปนี้เป็นบางครั้ง: คำขอผิดกฎหมาย ไคลเอ็นต์ต้องการการเชื่อมต่อใหม่สำหรับคำขอนี้เนื่องจากชื่อโฮสต์ที่ร้องขอไม่ตรงกับชื่อเซิร์ฟเวอร์ (SNI) ที่ใช้ในการเชื่อมต่อนี้ อย่างไรก็ตามการรีเฟรชเบราว์เซอร์จะล้างข้อผิดพลาดและโหลดหน้าเว็บตามปกติ การโหลดหน้าครั้งต่อไปจะไม่เกิดข้อผิดพลาดและรูปแบบดังกล่าวดูจะค่อนข้างสุ่ม รูปแบบเดียวที่ฉันเห็นคืออาจเกิดขึ้นเมื่อฉันเปลี่ยนเส้นทางหน้าโดยใช้ส่วนหัว ("ตำแหน่ง:". $ url); ฉันมีใบรับรอง PositiveSSL Multi-Domain จาก Comodo เซิร์ฟเวอร์ของฉันคือ Apache บนบริการเว็บโฮสติ้งที่ใช้ร่วมกันดังนั้นฉันจึงไม่สามารถเข้าถึงการกำหนดค่าได้ ฉันโหลดหน้าเว็บจากหนึ่งโดเมนและภายในหน้านั้นเป็นลิงค์ไปยังโดเมนที่สองในใบรับรอง ทุกสิ่งที่ฉันได้อ่านเกี่ยวกับข้อผิดพลาดนี้ดูเหมือนว่าจะชี้ให้เห็นว่าปัญหานี้เกี่ยวข้องกับการเป็นใบรับรองหลายโดเมน สิ่งที่ฉันอยากรู้คือถ้ามีอะไรในหน้าเว็บ (php) การเขียนโค้ดของสิ่งต่าง ๆ ที่สามารถทำให้เกิดสิ่งนี้ (และสามารถแก้ไขได้) หรือถ้ามันเป็นข้อผิดพลาดในการกำหนดค่าหรืออาจเป็นข้อผิดพลาดของเซิร์ฟเวอร์ ซ่อมมัน. บริการโฮสติ้งของฉันยังไม่สามารถให้บริการอะไรและขอโทรกลับด้วยเวลาที่แน่นอนที่เกิดขึ้นต่อไปเพื่อให้พวกเขาสามารถค้นคว้าได้ ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมในขณะที่ฉันไม่มั่นใจมากเกินไปที่พวกเขาสามารถคิดออก อัพเดท ตกลงเกือบสองปีต่อมาและตัดสินใจว่าถึงเวลาจัดการกับมันแล้ว ฉันสามารถแก้ไขปัญหาส่วนใหญ่ได้โดยการลบโดเมนแบบสแตติกของฉันที่แสดงรูปภาพและจาวาสคริปต์ อย่างไรก็ตามฉันยังคงใช้โดเมนที่สองสำหรับเนื้อหานี้บางส่วนและ Safari โดยเฉพาะยังคงทำให้ฉันมีปัญหา ผมทำวิจัยมากขึ้นและมาข้ามบทความอื่นที่พูดคุยเกี่ยวกับเรื่องนี้ที่นี่ สิ่งที่ @ เควินอธิบายไว้อย่างชัดเจน บทความยืนยันว่ามันเกิดขึ้นใน Safari ดังนั้นตามคำแนะนำฉันตั้งค่าเกี่ยวกับการรับใบรับรองแยกสำหรับแต่ละโดเมน ฉันอยู่ในโฮสต์ที่ใช้ร่วมกัน (Webhostinghub) …

11 ssl  apache-2.4  https 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน3 ปีที่ผ่านมา โอเคฉันไม่เคยมีประสบการณ์กับ SSL / HTTPS มาก่อนเลยฉันเคยจัดการกับ HTTP มาตรฐานเท่านั้น เมื่อเร็ว ๆ นี้ฉันเริ่มทำงานกับไซต์ที่ต้องการ SSL แน่นอนฉันได้ออกไปและค้นคว้าวิธีและเริ่มต้น ฉันได้เข้าสู่ขั้นตอนของการติดตั้งใบรับรอง SSL สำเร็จแล้ว - รหัสล็อคสีเขียวจะปรากฏขึ้นและเซิร์ฟเวอร์ตอบสนองต่อคำขอ HTTPS ที่พอร์ต 443 ปัญหาที่ฉันมีคือไม่ว่าฉันจะทำอะไรก็ตาม SSL อย่างไรก็ตามมันปรากฏขึ้นที่พอร์ต 80 / HTTP (จนกว่าฉันจะเปลี่ยนเส้นทาง HTTP ไปยัง HTTPS นั่นก็คือ) พูดง่ายๆก็คือฉันสามารถเข้าถึงเว็บไซต์ HTTPS ได้อย่างดีเยี่ยม แต่หน้าของฉันไม่ได้ถูกส่ง แต่จะส่ง 404 สำหรับทุกคำขอ /etc/apache2/sites-available/[name].conf <VirtualHost *:80> ServerName [serverName] …

10 apache-2.4  configuration  https  http-status-code-404  raspbian 

ประการแรกฉันขอโทษสำหรับภาษาอังกฤษที่ไม่ดีของฉัน ฉันยังเรียนรู้อยู่ นี่มันไป: เมื่อฉันโฮสต์เว็บไซต์เดียวต่อที่อยู่ IP ฉันสามารถใช้ SSL "บริสุทธิ์" (ไม่มี SNI) และการแลกเปลี่ยนคีย์เกิดขึ้นก่อนที่ผู้ใช้จะบอกชื่อโฮสต์และเส้นทางที่เขาต้องการเรียกคืน หลังจากการแลกเปลี่ยนคีย์ข้อมูลทั้งหมดสามารถแลกเปลี่ยนได้อย่างปลอดภัย ที่กล่าวว่าหากใครก็ตามที่กำลังดมกลิ่นเครือข่ายจะไม่มีการรั่วไหลของข้อมูลที่เป็นความลับ * (ดูเชิงอรรถ) ในทางกลับกันถ้าฉันโฮสต์หลายเว็บไซต์ต่อที่อยู่ IP ฉันอาจจะใช้ SNI และดังนั้นผู้เยี่ยมชมเว็บไซต์ของฉันต้องบอกชื่อโฮสต์เป้าหมายก่อนที่ฉันจะสามารถให้ใบรับรองที่ถูกต้องแก่เขาได้ ในกรณีนี้ใครบางคนที่สูดดมเครือข่ายของเขาสามารถติดตามโดเมนเว็บไซต์ทั้งหมดที่เขากำลังเข้าถึงได้ มีข้อผิดพลาดใด ๆ ในสมมติฐานของฉันหรือไม่? มิเช่นนั้นจะไม่แสดงถึงความเป็นส่วนตัวของผู้ใช้ถ้าสมมติว่าผู้ใช้นั้นใช้ DNS ที่เข้ารหัสด้วยเช่นกัน เชิงอรรถ: ฉันยังตระหนักว่าดมกลิ่นสามารถทำการค้นหาแบบย้อนกลับบนที่อยู่ IP และค้นหาเว็บไซต์ที่มีการเยี่ยมชม แต่ชื่อโฮสต์ที่เดินทางผ่านข้อความผ่านสายเคเบิลเครือข่ายดูเหมือนจะทำให้โดเมนที่ใช้คำหลักบล็อกง่ายขึ้นสำหรับเจ้าหน้าที่การเซ็นเซอร์

10 ssl  https  privacy  sni 

ลูกค้ามีใบรับรอง SSL สำหรับโดเมน www.site.com เท่านั้นไม่ใช่ site.com การเปลี่ยนเส้นทางสำหรับ HTTP ปกติไม่ใช่ปัญหาผ่าน mod_rewrite อย่างไรก็ตามวิธีนี้ดูเหมือนจะล้มเหลวสำหรับเราสำหรับ HTTPS เราต้องการที่จะเปลี่ยนเส้นทางhttps://site.comร้องขอhttps://www.site.com สามารถทำได้โดยไม่แจ้งเตือนใบรับรองที่ไม่ถูกต้องในเบราว์เซอร์หรือรับใบรับรองตัวแทน?

10 apache-2.2  ssl  mod-rewrite  https 

ฉันต้องการวาง stunnel ไว้ด้านหน้า haproxy 1.4 เพื่อจัดการปริมาณการใช้ HTTPS ฉันยังต้องการ stunnel เพื่อเพิ่มส่วนหัวX-Forwarded-For สามารถทำได้โดยแพทช์ "stunnel-4.xx-xforwarded-for.diff" จากเว็บไซต์ haproxy อย่างไรก็ตามคำอธิบายดังกล่าว: โปรดทราบว่าแพทช์นี้ไม่สามารถทำงานได้กับ ... คำถามของฉันคืออะไรในทางปฏิบัติสิ่งนี้สำหรับฉัน ฉันไม่แน่ใจ หากนี่เป็นเรื่องที่รักษาไว้ระหว่างกัน ลูกค้าและ stunnel stunnel และ haproxy หรือเซิร์ฟเวอร์ haproxy และแบ็กเอนด์? สิ่งนี้มีความหมายอย่างไรต่อประสิทธิภาพการทำงาน: ถ้าฉันมี 100 ไอคอนบนหน้าเว็บเบราว์เซอร์จะต้องต่อรอง 100 การเชื่อมต่อ SSL เต็มรูปแบบหรือสามารถใช้การเชื่อมต่อ SSL อีกครั้งเพียงแค่สร้างการเชื่อมต่อ TCP ใหม่

10 ssl  https  tcp  haproxy  stunnel 

ฉันพยายามโน้มน้าวให้ลูกค้าชำระค่า SSL สำหรับเว็บไซต์ที่ต้องมีการเข้าสู่ระบบ ฉันต้องการให้แน่ใจว่าฉันเข้าใจสถานการณ์ที่สำคัญที่ใครบางคนสามารถเห็นรหัสผ่านที่ถูกส่ง ความเข้าใจของฉันคือที่ใด ๆ ของการกระโดดข้ามทางสามารถใช้ตัววิเคราะห์แพ็คเก็ตเพื่อดูสิ่งที่ถูกส่ง สิ่งนี้ดูเหมือนว่าต้องการให้แฮ็กเกอร์ใด ๆ (หรือมัลแวร์ / บ็อตเน็ต) อยู่ในซับเน็ตเดียวกันกับแพ็กเก็ตใด ๆ ที่แพ็คเก็ตใช้เพื่อไปถึงปลายทาง นั่นถูกต้องใช่ไหม? สมมติว่ารสนิยมบางอย่างของความต้องการเครือข่ายย่อยนี้เป็นจริงฉันต้องกังวลเกี่ยวกับการกระโดดทั้งหมดหรือแค่อันแรก? คนแรกที่ฉันเห็นได้ชัดว่ากังวลว่าพวกเขาอยู่ในเครือข่าย Wifi สาธารณะเพราะใคร ๆ ก็สามารถฟังได้ ฉันควรเป็นกังวลว่าเกิดอะไรขึ้นในซับเน็ตที่แพ็กเก็ตจะเดินทางข้ามด้านนอกนี้ ฉันไม่รู้เกี่ยวกับทราฟฟิกเครือข่าย แต่ฉันคิดว่ามันไหลผ่านดาต้าเซ็นเตอร์ของผู้ให้บริการหลัก ๆ และไม่มีเวกเตอร์การโจมตีที่ฉ่ำอยู่ที่นั่นมากมาย แต่โปรดแก้ไขฉันหากฉันผิด มีเวกเตอร์อื่น ๆ ที่น่าเป็นห่วงนอกคนที่กำลังฟังด้วยตัววิเคราะห์แพ็คเก็ตหรือไม่? ฉันเป็นเครือข่ายและความปลอดภัย noob ดังนั้นโปรดตั้งตรงถ้าฉันใช้คำศัพท์ที่ผิดในสิ่งนี้

10 security  ssl  https  hacking  packet-sniffer 

โปรดดูแผนภาพต่อไปนี้ งานนี้ควรทำยังไง? เมื่อรีโมตร้องขอ http: // myhost.com:8080/* คำขอควรถูกส่งต่อไปยังเซิร์ฟเวอร์ http ที่รับฟังพอร์ต 8008 ของอินเตอร์เฟสลูปแบ็ค นี่คือส่วนที่ง่าย เมื่อผู้ใช้ระยะไกลร้องขอ http: // myhost.com:8080/specialurl ... โปรแกรมที่ทำหน้าที่เป็นเกตเวย์ระดับแอปพลิเคชันควรจะสามารถอัพเกรดการเชื่อมต่อไปยังเซสชันที่เข้ารหัส ( โดยไม่เปลี่ยนพอร์ต ) หลังจากสร้างเซสชันที่เข้ารหัสด้วยเบราว์เซอร์ระยะไกลแล้วควรส่งต่อการร้องขอไปยังโปรแกรม C ที่ฟังพอร์ต 8000 ของอินเตอร์เฟสลูปแบ็ค คำถามของฉันคือ : คุณเคยปรับใช้โซลูชันเช่นนี้ในสภาพแวดล้อมการผลิตหรือไม่? ถ้าคุณมี... ผลิตภัณฑ์ใดที่คุณใช้เพื่อทำหน้าที่เป็นเกตเวย์แอปพลิเคชัน คุณสามารถให้ตัวอย่างการกำหนดค่าได้หรือไม่ ข้อ จำกัด อย่างหนัก : ฉันไม่สามารถควบคุมไฟร์วอลล์ได้และพอร์ตเดียวที่ฉันสามารถรับทราฟฟิกภายนอกเข้าสู่เซิร์ฟเวอร์ภายในได้คือ 8080 หมายเลขพอร์ตไม่เกี่ยวข้องสิ่งนี้คือมีพอร์ตเดียวที่เปิดในระดับไฟร์วอลล์ที่ส่งต่อขาเข้า การรับส่งข้อมูลไปยังเซิร์ฟเวอร์ภายใน เซิร์ฟเวอร์ภายในต้องใช้งาน Linux (ขณะนี้กำลังเรียกใช้ Debian Lenny) ผู้ใช้ระยะไกลไม่ต้องการอะไรมากไปกว่าเว็บเบราว์เซอร์ปัจจุบันและการเชื่อมต่ออินเทอร์เน็ตเพื่อเข้าถึงเซิร์ฟเวอร์นี้ ซึ่งหมายความว่าการส่งต่อพอร์ตย้อนกลับผ่าน SSH ไม่ใช่ตัวเลือกที่นี่ ฉันต้องการผลิตภัณฑ์ที่ได้รับการทดสอบในการผลิตและสามารถนำไปใช้ได้อย่างง่ายดาย …

10 linux  nginx  http  https  lighttpd 

ฉันกำลังพยายามเปลี่ยนเส้นทางคำขอที่ไม่ใช่ www ไปยัง www ใน Amazon Route 53 ฉันสร้างที่ฝากข้อมูล S3 ด้วยชื่อโดเมนเปล่าและกำหนดค่าคุณสมบัติที่เก็บข้อมูลเพื่อเปลี่ยนเส้นทางจากexample.comไปที่www.example.comแล้วในเส้นทาง 53 สร้างนามแฝงสำหรับชื่อโดเมนเปล่าที่ชี้ไปที่ที่ฝากข้อมูล S3 ที่อิง ในต่อไปนี้: เปลี่ยนเส้นทางคำขอที่ไม่ใช่ www ไปยัง www ใน Amazon Route 53 มันใช้งานได้ดีสำหรับฉันยกเว้น HTTPS ตอนนี้ฉันไม่สามารถเข้าถึงhttps://example.comด้วยเหตุผลบางอย่าง ความช่วยเหลือใด ๆ จะได้รับการชื่นชมอย่างมาก

10 https  amazon-route53 

ฉันเคยใช้งานเว็บไซต์ที่มีใบรับรอง SSL แต่หยุดใช้ใบรับรอง SSL ปัญหาคือลิงก์ภายนอกส่วนใหญ่ไปยังเว็บไซต์ใช้คำนำหน้า https: // ฉันได้ลอง https: // ไปยัง http: // การเปลี่ยนเส้นทางในไฟล์. htaccess: RewriteEngine On RewriteCond %{HTTPS} on RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} แต่ดูเหมือนว่าที่อื่นได้ชี้ให้เห็นว่าเซิร์ฟเวอร์พยายามดึงใบรับรองก่อนที่จะเปิดใช้งานการเปลี่ยนเส้นทาง ดังนั้นข้อผิดพลาดจะปรากฏขึ้นก่อนการเปลี่ยนเส้นทางจะทำได้สำเร็จ ข้อผิดพลาดเป็นคำเตือนว่าใบรับรองหมดอายุหรือถ้าฉันลบคำขอลงนามใบรับรองแล้วข้อผิดพลาดที่ SSL ได้รับบันทึกที่เกินความยาวสูงสุดที่อนุญาต มีวิธีใดบ้างที่จะอนุญาตให้ลิงค์ขาเข้าถูกเปลี่ยนเส้นทางอย่างเหมาะสม?

10 apache-2.2  web-server  .htaccess  http  https 

เนื่องจากข้อ จำกัด ด้านโครงสร้างพื้นฐานหนึ่งในโซลูชันที่นำเสนอสำหรับการให้บริการ HTTP ทั่วโลกคือการนำเสนอผ่านพอร์ต 8080 และ 8443 ความกังวลของฉันคือผู้ใช้บางคนอาจไม่สามารถเข้าถึงบริการเหล่านี้ได้เนื่องจากพวกเขาไม่ได้ทำงานบนพอร์ตมาตรฐานและเนื้อหาอาจถูกกรองโดย (ตัวอย่าง) เป็นส่วนหนึ่งของนโยบายเครือข่ายขององค์กร ดังนั้น ... มีโอกาสมากที่ผู้ใช้จากอินเทอร์เน็ตที่มีขนาดใหญ่อาจไม่สามารถเข้าถึงบริการเหล่านี้

9 web-server  http  https  port 

ต่อไปนี้เป็นข้อมูลพื้นฐานเกี่ยวกับปัญหาของฉัน: ฉันมีบริการเว็บที่ทำงานบน Heroku ด้วยที่อยู่ IP แบบไดนามิก IP แบบคงที่ใน Heroku ไม่ใช่ตัวเลือก ฉันต้องเชื่อมต่อกับบริการเว็บภายนอกซึ่งอยู่หลังไฟร์วอลล์ บุคคลที่ดำเนินการบริการเว็บภายนอกจะเปิดไฟร์วอลล์ของพวกเขาไปยัง IP แบบคงที่เฉพาะเท่านั้น โซลูชันที่ฉันพยายามทำคือใช้ Squid บนเซิร์ฟเวอร์แยกต่างหากที่มี IP คงที่เพื่อส่งต่อคำขอพรอกซีจาก Heroku ไปยังบริการภายนอก ด้วยวิธีนี้บริการภายนอกจะเห็น IP แบบคงที่ของพร็อกซีเซิร์ฟเวอร์เสมอแทนที่จะเป็น IP แบบไดนามิกของบริการ Heroku เนื่องจากพร็อกซีเซิร์ฟเวอร์ของฉันไม่สามารถใช้ที่อยู่ IP สำหรับการตรวจสอบความถูกต้อง (นั่นเป็นปัญหาที่ต้องเริ่มต้นด้วย!) จึงต้องใช้ชื่อผู้ใช้และรหัสผ่าน นอกจากนี้ชื่อผู้ใช้และรหัสผ่านไม่สามารถส่งเป็นข้อความที่ชัดเจนได้เพราะหากผู้โจมตีต้องสกัดกั้นข้อความที่ชัดเจนพวกเขาสามารถเชื่อมต่อกับพร็อกซีของฉันที่แสร้งทำเป็นฉัน ไฟร์วอลล์ของบริการเว็บ ดังนั้น Squid proxy ต้องยอมรับการเชื่อมต่อผ่าน HTTPS ไม่ใช่ HTTP (การเชื่อมต่อกับบริการเว็บภายนอกอาจเป็น HTTP หรือ HTTPS) ฉันกำลังใช้งาน Squid 3.1.10 บน CentOS …

9 proxy  https  squid  heroku 

คำนำ ประการแรก: เพียงแค่พอร์ต 80 -> พอร์ต 443 Rewrite จะไม่แก้ไขปัญหานี้ ในเกือบทุกคำถามก่อนหน้านี้เมลเธรดฟอรัมและอื่น ๆ ฉันพบว่านี่เป็นการตอบสนองครั้งแรกที่ไม่รู้และถูก parroted หลายครั้ง ประการที่สอง: ใช่ฉันรู้ว่าคุณไม่สามารถให้บริการการรับส่งข้อมูล HTTP และ HTTPS บนพอร์ตเดียวกัน นี่ไม่ใช่อย่างนั้น สถานการณ์: เซิร์ฟเวอร์ Apache โฮสต์หลายไซต์ผ่านการคูณพอร์ต พอร์ต 80 ให้บริการเว็บไซต์สาธารณะ พอร์ต 443 ให้บริการเวอร์ชันที่ปลอดภัยของไซต์นั้น พอร์ต 7443, 8443 และ 9443 แต่ละแห่งให้บริการไซต์ SSL ที่แยกต่างหาก หากผู้ใช้พิมพ์ URL ผิดหรือได้รับลิงก์ที่ไม่ถูกต้องให้พูดhttp: //hostname.tld: 7443พวกเขาจะได้รับหน้าไร้สาระดังต่อไปนี้: แทนของเซิร์ฟเวอร์เพียงการเปลี่ยนเส้นทางพวกเขาไปยังhttps: //hostname.tld: 7443 คำถามของฉันคือในชื่อbutthole ของ Zeusคุณสามารถปรับเปลี่ยนพฤติกรรมของ …

9 apache-2.2  http  https  custom-errors 

ฉันตั้งค่าstunnelเซิร์ฟเวอร์ใน Windows XP และฉันได้รับข้อผิดพลาดนี้เมื่อลูกค้าพยายามเข้าถึง: 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 …

9 windows  ssl  https  stunnel 

ฉันมีที่ปรึกษาด้านความปลอดภัยที่บอกฉันว่าเราไม่สามารถใช้ Wildcard SSL certs ได้เพื่อเหตุผลด้านความปลอดภัย เพื่อความชัดเจนฉันชอบการใช้ certs เดี่ยวหรือหลายโดเมน certs (SAN) อย่างไรก็ตามเรามีความต้องการเซิร์ฟเวอร์ (plesk) ไปยังเซิร์ฟเวอร์ 100s ของโดเมนย่อย จากการวิจัยของฉันเหตุผลหลักที่ทำให้คนไม่ใช้ไวลด์การ์ดคือสิ่งต่อไปนี้ซึ่งมาจาก verisign: ความปลอดภัย: หากหนึ่งเซิร์ฟเวอร์หรือโดเมนย่อยถูกบุกรุกโดเมนย่อยทั้งหมดอาจถูกบุกรุก การจัดการ: หากต้องการแทนที่ใบรับรองไวด์การ์ดโดเมนย่อยทั้งหมดจะต้องมีใบรับรองใหม่ ความเข้ากันได้: ใบรับรองตัวแทนอาจไม่ทำงานอย่างราบรื่นกับ การกำหนดค่าเซิร์ฟเวอร์ - ไคลเอ็นต์รุ่นเก่า การป้องกัน: ใบรับรอง SSL VeriSign Wildcard ไม่ได้รับการคุ้มครองโดยการขยายการรับประกันของ NetSure เนื่องจากคีย์ส่วนตัวใบรับรองและโดเมนย่อยทั้งหมดจะมีอยู่บนเซิร์ฟเวอร์เดียวกัน ... การแทนที่จะง่ายเหมือนการแทนที่หนึ่งใบรับรองนี้และมีผลต่อจำนวนผู้ใช้เท่ากัน ดังนั้นมีเหตุผลที่จะไม่ใช้ใบรับรองตัวแทนหรือไม่

9 security  ssl  https