คำถามติดแท็ก mod-ssl

เนื่องจากปัญหาด้านความปลอดภัยจำนวนมากขึ้นเช่นการใช้ประโยชน์จากเบราว์เซอร์ที่ประกาศใหม่ต่อ SSL / TLS (BEAST) ฉันอยากรู้ว่าเราจะเปิดใช้งาน TLS 1.1 และ 1.2 กับ OpenSSL และ Apache ได้อย่างไรเพื่อให้แน่ใจว่าเราจะไม่เสี่ยง เพื่อภัยคุกคามเวกเตอร์

33 apache-2.2  security  openssl  mod-ssl 

ฉันกำลังกำหนดค่า SSL Apache 2สำหรับ Ubuntu Server 10.04 LTSระบบของฉันคือ ฉันมีการตั้งค่าต่อไปนี้เกี่ยวข้องกับ SSL ในการกำหนดค่า vhost ของฉัน: SSLEngine On SSLCertificateKeyFile /etc/ssl/private/server.insecure.key SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt (หมายเหตุด้านข้าง: ฉันใช้.insecureไฟล์คีย์เนื่องจากไฟล์ไม่ได้รับการป้องกันวลีรหัสผ่านและฉันต้องการเห็นอย่างชัดเจนว่าเป็นไฟล์คีย์ที่ไม่ปลอดภัย) ดังนั้นเมื่อฉันเริ่ม apache ฉันได้รับข้อความต่อไปนี้: Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https: SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty Error in syntax. Not restarting. แต่ไฟล์อยู่ที่นั่นและไม่ว่างเปล่า (จริง ๆ แล้วมันมีไพรเวตคีย์): sudo …

32 apache-2.2  ubuntu  ssl  ssl-certificate  mod-ssl 

ฉันใช้เซิร์ฟเวอร์ apache (2.4) ที่กำหนดค่าเป็น loadbalancer หน้าเซิร์ฟเวอร์ apache 2 ตัว มันทำงานได้ดีเมื่อฉันใช้การเชื่อมต่อ http ระหว่าง loadbalancer และแบ็กเอนด์อย่างไรก็ตามการใช้ https ไม่ทำงาน การกำหนดค่าของ loadbalancer: SSLProxyEngine on SSLProxyVerify none SSLProxyCheckPeerCN off <Proxy balancer://testcluster> BalancerMember https://[Backend1]:443/test BalancerMember https://[Backend2]:443/test </Proxy> ProxyPass /test balancer://testcluster แบ็กเอนด์มีใบรับรองที่ลงชื่อด้วยตนเองเท่านั้นในตอนนี้ซึ่งเป็นสาเหตุที่การตรวจสอบใบรับรองถูกปิดใช้งาน บันทึกข้อผิดพลาดบน loadbalancer มีดังต่อไปนี้: [proxy:error] [pid 31202:tid 140325875570432] (502)Unknown error 502: [client ...] AH01084: pass request …

30 reverse-proxy  apache-2.4  mod-ssl  apache-2.2 

ใน Apache2 บน Ubuntu ฉันมีเว็บไซต์ที่ฉันฟังอยู่ 80 และตอนนี้ฉันต้องการเพิ่ม SSL มีวิธีการเปิดใช้งาน SSLEngine สำหรับพอร์ต 443 ดังนั้นฉันไม่ต้องคัดลอกบล็อก VirtualHost ทั้งหมดหรือไม่ เมื่อฉันทำสิ่งนี้: Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> SSLEngine On ... a bunch more lines... </VirtualHost> กำลังเปิด SSLEngine สำหรับพอร์ต 80 มีวิธีใช้เพียงหนึ่งบล็อก VirtualHost เท่านั้นและเปิด SSLEngine สำหรับพอร์ต 443 หรือไม่ ดังนั้นฉันจะทำอะไรแบบนี้? Listen 80 Listen 443 NameVirtualHost * …

18 apache-2.2  mod-ssl 

ฉันพยายามสนับสนุนปริมาณการใช้ HTTPS ด้วยโมดูล mod_ssl บนเว็บไซต์ของฉัน ฉันใช้งานอินสแตนซ์ Amazon EC2 สำหรับเซิร์ฟเวอร์ของฉัน ฉันได้ติดตั้งและกำหนดค่าแพ็คเกจหลอดไฟพื้นฐานแล้ว แต่เมื่อผมไปใส่ในคำสั่ง SSL เฉพาะใน config ไฟล์ Apache ของฉัน (ie. SSLEngine, SSLCertificateFileฯลฯ ) มันถ่มน้ำลายออกข้อผิดพลาดและบอกว่าฉันมีข้อผิดพลาดทางไวยากรณ์หรือโมดูลไม่โหลด $ sudo yum install mod_sslขั้นตอนต่อไปของฉันคือการพยายาม อย่างไรก็ตาม yum กลับมาแล้วพูดว่า "กำลังประมวลผลข้อขัดแย้ง ... ข้อผิดพลาด: httpd24-tools ขัดแย้งกับ httpd-tools" ดังนั้นฉันคิดว่า mod_ssl รวมอยู่ในแพ็คเกจ httpd-tools ฉันวิ่งแล้ว$ sudo yum install httpd24-toolsแต่มันกลับมาและบอกฉันว่าฉันได้ติดตั้งแพ็กเกจนั้นแล้ว ตอนนี้ทำไมฉันถึงติดตั้งแพ็คเกจ httpd-tools และ mod_ssl ไม่ได้โหลดในระบบของฉัน? …

15 apache-2.2  amazon-ec2  https  mod-ssl  configuration 

เรามีใบรับรอง SSL สำหรับเว็บไซต์ของเราจาก Network Solutions หลังจากอัพเกรด Apache / OpenSSL เป็นเวอร์ชั่น 2.4.9 ฉันได้รับคำเตือนต่อไปนี้เมื่อเริ่มต้น HTTPD: AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead ตามคู่มือ Apache สำหรับ mod_sslนี่เป็นกรณีจริง: SSLCertificateChainFile เลิกใช้แล้ว SSLCertificateChainFile ล้าสมัยกับรุ่น 2.4.8 เมื่อ SSLCertificateFile ถูกขยายเพื่อโหลดใบรับรอง CA ระดับกลางจากไฟล์ใบรับรองเซิร์ฟเวอร์ด้วย มองขึ้นไปเอกสารสำหรับSSLCertificateFileมันดูเหมือนผมเพียงแค่ต้องการที่จะเปลี่ยนการโทรของฉันไปSSLCertificateChainFileกับSSLCertificateFile การเปลี่ยนแปลงนี้ทำให้ ssl.conf ของฉันเปลี่ยนจากสิ่งนี้: SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt สำหรับสิ่งนี้: …

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

ฉันอ่านเกี่ยวกับการโจมตีCRIMEจากการบีบอัด TLS ( CVE-2012-4929 , CRIME เป็นผู้สืบทอดการโจมตี BEAST กับ ssl & tls) และฉันต้องการปกป้อง webservers ของฉันจากการโจมตีนี้โดยการปิดใช้งานการบีบอัด SSLซึ่งถูกเพิ่มใน Apache 2.2.22 (ดูBug 53219 ) ฉันใช้ Scientific Linux 6.3 ซึ่งมาพร้อมกับ httpd-2.2.15 การแก้ไขความปลอดภัยสำหรับรุ่นอัปสตรีมของ httpd 2.2 ควรย้อนกลับไปที่เวอร์ชันนี้ # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's …

14 apache-2.2  security  tls  mod-ssl 

ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04.2 LTS ที่ใช้ Apache 2.2.22 พร้อม mod_ssl และ OpenSSL v1.0.1 ใน vhosts การตั้งค่าของฉัน (ทุกสิ่งทุกอย่างภายในซึ่งทำงานเป็นผมจะคาดหวัง) ผมมีความสอดคล้องกับSSLProtocol-all +SSLv3 ด้วยการกำหนดค่านั้น TLS 1.1 & 1.2 เปิดใช้งานและทำงานอย่างถูกต้องซึ่งเป็นสิ่งที่ขัดกับฉันอย่างที่ฉันคาดหวังว่าจะเปิดใช้งาน SSLv3 เท่านั้นเนื่องจากการกำหนดค่านั้น ฉันสามารถเปิด / ปิดใช้งาน TLSv1 ได้ดี-/+TSLv1และทำงานได้ตามที่คาดไว้ แต่+/-TLSv1.1และ+/-TLSv1.2ไม่ใช่ตัวเลือกการกำหนดค่าที่ถูกต้อง - ดังนั้นฉันจึงไม่สามารถปิดใช้งานวิธีนั้นได้ สำหรับสาเหตุที่ฉันต้องการทำเช่นนี้ - ฉันกำลังจัดการกับแอปพลิเคชันของบุคคลที่สาม (ซึ่งฉันไม่สามารถควบคุมได้) ที่มีพฤติกรรมบั๊กกี้กับเซิร์ฟเวอร์ที่เปิดใช้งาน TLS และฉันต้องปิดการใช้งานโดยสมบูรณ์

13 apache-2.2  ssl  openssl  tls  mod-ssl 

ฉันกำลังเรียกใช้ (พยายามที่จะเรียกใช้จริง ๆ ) Apache 2.4.2 บน Windows Server 2003 R2 32 บิต (บวก PHP 5.4.5 และ OpenSSL 1.0.1c แต่ฉันไม่คิดว่ามีความสำคัญ) และฉันได้รับ บรรทัดต่อไปนี้ในบันทึกข้อผิดพลาด: [Sun Aug 05 11:52:39.546875 2012] [ssl:warn] [pid 5712:tid 348] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache] กำลังพยายามเชื่อมต่อเพื่อhttps://localhost/รับ 102 - ข้อผิดพลาดถูกปฏิเสธการเชื่อมต่อ สิ่งที่เป็นปริศนาของฉันSSLSessionCache คือการกำหนดค่า: SSLSessionCache "shmcb:C:/Program Files/Apache Software …

12 apache-2.2  windows  windows-server-2003  mod-ssl 

เอกสาร mod_ssl Apache สำหรับSSLCertificateFileและSSLCertificateKeyFileสั่งกล่าวว่ามันเป็น 'ขอกำลังใจ' ในการจัดเก็บคีย์ส่วนตัวและใบรับรอง SSL ในไฟล์เดียวกัน ตอนนี้เห็นได้ชัดว่าไฟล์คีย์ส่วนตัวควรได้รับการรักษาความปลอดภัย แต่สมมติว่าเป็นกรณีนี้มีความเสี่ยงเฉพาะในการจัดเก็บใบรับรองในไฟล์เดียวกันหรือไม่? ฉันอยากรู้ว่าทำไมพฤติกรรมนี้จึงได้รับการสนับสนุนและท้อแท้อย่างยิ่งโดยไม่มีคำอธิบาย

11 apache-2.2  ssl  web-server  mod-ssl 

มีวิธีปิดการใช้งานการบีบอัด SSL / TLS ใน Apache 2.2.x เมื่อใช้ mod_ssl หรือไม่? ถ้าไม่ผู้คนกำลังทำอะไรเพื่อลดผลกระทบของ CRIME / BEAST ในเบราว์เซอร์รุ่นเก่า ลิ้งค์ที่มีความเกี่ยวข้อง: https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl