คำถามติดแท็ก openssl

OpenSSL: ชุดเครื่องมือโอเพนซอร์สสำหรับ SSL และ TLS

9
Heartbleed: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน?
นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการทำความเข้าใจและแก้ไขปัญหาความปลอดภัย Heartbleed CVE-2014-0160 AKA คืออะไร "Heartbleed" สาเหตุอะไรที่ระบบปฏิบัติการและเวอร์ชั่นของ OpenSSL มีความเสี่ยงมีอาการอะไรบ้างมีวิธีการตรวจสอบหาช่องโหว่ที่ประสบความสำเร็จหรือไม่ ฉันจะตรวจสอบว่าระบบของฉันได้รับผลกระทบได้อย่างไร? ช่องโหว่นี้จะบรรเทาลงได้อย่างไร? ฉันควรกังวลว่ากุญแจหรือข้อมูลส่วนตัวอื่น ๆ ของฉันถูกบุกรุกหรือไม่? ฉันควรคำนึงถึงผลข้างเคียงอะไรบ้าง



2
ฉันจะตรวจสอบว่าสนับสนุน TLS 1.2 บนเว็บเซิร์ฟเวอร์ระยะไกลจากเปลือก RHEL / CentOS ได้อย่างไร
ฉันใช้ CentOS 5.9 ฉันต้องการพิจารณาจาก linux shell หากเว็บเซิร์ฟเวอร์ระยะไกลสนับสนุน TLS 1.2 โดยเฉพาะ (เทียบกับ TLS 1.0) มีวิธีง่าย ๆ ในการตรวจสอบว่า? ฉันไม่เห็นตัวเลือกที่เกี่ยวข้องopensslแต่บางทีฉันอาจมองเห็นบางสิ่งบางอย่าง
102 linux  centos  openssl  tls 


6
ใบรับรองรูทผู้มีสิทธิ์ออกใบรับรองหมดอายุและต่ออายุ
ในปี 2004 ฉันตั้งค่าการรับรองขนาดเล็กโดยใช้ OpenSSL บน Linux และสคริปต์การจัดการอย่างง่ายที่มาพร้อมกับ OpenVPN ตามคำแนะนำที่ฉันพบในขณะนั้นฉันตั้งค่าช่วงเวลาที่ใช้ได้สำหรับใบรับรองรูท CA เป็น 10 ปี ตั้งแต่นั้นมาฉันลงนามใบรับรองจำนวนมากสำหรับอุโมงค์ OpenVPN เว็บไซต์และเซิร์ฟเวอร์อีเมลซึ่งทั้งหมดนี้ก็มีช่วงเวลาที่ใช้งานได้ 10 ปี (ซึ่งอาจผิดปกติ แต่ฉันไม่รู้ตอนนั้นดีกว่า) ฉันพบคำแนะนำมากมายเกี่ยวกับการตั้งค่า CA แต่มีข้อมูลน้อยมากเกี่ยวกับการจัดการและโดยเฉพาะเกี่ยวกับสิ่งที่ต้องทำเมื่อใบรับรอง CA หลักหมดอายุซึ่งจะเกิดขึ้นในปี 2014 ดังนั้นฉันจึงมีสิ่งต่อไปนี้ คำถาม: ใบรับรองที่มีช่วงเวลาที่มีผลบังคับใช้ขยายหลังจากการหมดอายุของใบรับรอง CA หลักจะกลายเป็นไม่ถูกต้องทันทีที่หมดอายุในภายหลังหรือพวกเขาจะยังคงถูกต้อง (เพราะพวกเขาได้รับการลงนามในช่วงระยะเวลาที่ใบรับรอง CA) การดำเนินการใดที่จำเป็นในการต่ออายุใบรับรอง CA หลักและตรวจสอบให้แน่ใจว่าการเปลี่ยนผ่านหมดอายุนั้นเป็นไปอย่างราบรื่น ฉันสามารถลงนามใบรับรอง CA รูทปัจจุบันอีกครั้งโดยใช้ช่วงเวลาที่ต่างกันและอัปโหลดใบรับรองที่ลงนามใหม่ไปยังลูกค้าเพื่อให้ใบรับรองลูกค้ายังคงใช้ได้หรือไม่ หรือฉันต้องการแทนที่ใบรับรองไคลเอ็นต์ทั้งหมดด้วยใบรับรองใหม่ที่ลงชื่อโดยใบรับรองรูท CA ใหม่หรือไม่ ควรต่ออายุใบรับรอง CA รูตเมื่อใด ใกล้หมดอายุหรือเวลาที่เหมาะสมก่อนหมดอายุหรือไม่ หากการต่ออายุใบรับรองรูท CA กลายเป็นงานชิ้นสำคัญฉันควรทำอย่างไรดีกว่าตอนนี้เพื่อให้แน่ใจว่าการเปลี่ยนแปลงจะราบรื่นขึ้นในการต่ออายุครั้งถัดไป (สั้นโดยกำหนดระยะเวลาที่ใช้ได้ถึง …

8
Heartbleed: วิธีการตรวจสอบเวอร์ชั่น OpenSSL อย่างเชื่อถือได้และพกพาได้อย่างไร
ฉันกำลังมองหาวิธีที่เชื่อถือได้และพกพาเพื่อตรวจสอบเวอร์ชัน OpenSSL บน GNU / Linux และระบบอื่น ๆ เพื่อให้ผู้ใช้สามารถค้นพบว่าพวกเขาควรอัปเกรด SSL ของพวกเขาหรือไม่เพราะ Heartbleed bug ฉันคิดว่ามันจะง่าย แต่ฉันพบปัญหาอย่างรวดเร็วบน Ubuntu 12.04 LTS ด้วย OpenSSL 1.0.1g ล่าสุด: openssl เวอร์ชัน -a ฉันคาดหวังว่าจะเห็นเวอร์ชันเต็ม แต่ฉันได้รับสิ่งนี้: OpenSSL 1.0.1 14 มีนาคม 2012 สร้างเมื่อ: อ. มิ.ย. 4 07:26:06 UTC 2013 แพลตฟอร์ม: [... ] สำหรับความประหลาดใจอันไม่พึงประสงค์ของฉันจดหมายฉบับไม่แสดง ไม่ f ไม่มี g เพียงแค่ "1.0.1" และนั่นคือ …

6
เป็นไปได้หรือไม่ที่จะสร้างคีย์ RSA โดยไม่มีวลีรหัสผ่าน?
ฉันทำงานกับ Apache2 และ Passenger สำหรับโครงการ Rails ฉันต้องการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองเพื่อวัตถุประสงค์ในการทดสอบ sudo openssl rsa -des3 -in server.key -out server.key.new เมื่อฉันป้อนคำสั่งดังกล่าวจะกล่าวว่า writing RSA key Enter PEM pass phrase: ถ้าฉันไม่ป้อน pass phrse, im ได้รับข้อผิดพลาดด้านล่าง unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: …


2
ssh-keygen ไม่ได้สร้างคีย์ส่วนตัว RSA
ฉันกำลังพยายามสร้างรหัสส่วนตัวและมีปัญหา เมื่อฉันใช้ssh-keygen -t rsa -b 4096 -C "your_email@example.com"ฉันได้รับรหัสส่วนตัวในรูปแบบต่อไปนี้ -----BEGIN OPENSSH PRIVATE KEY----- uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END OPENSSH PRIVATE KEY----- และนี่ไม่ได้รับการยอมรับสำหรับแอปพลิเคชันที่ฉันพยายามใช้ ฉันคาดว่าจะมีรหัสในรูปแบบ RSA ต่อไปนี้ -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9 uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END RSA PRIVATE KEY----- ฉันจะสร้างรูปแบบที่ถูกต้องได้อย่างไร นี่เป็นเรื่องแปลกเพราะแม็คอื่นที่ฉันสร้างขึ้นนั้นถูกต้องทุกรูปแบบยกเว้นอันที่ฉันมีปัญหา ฉันใช้งาน Mac OS Mojave ที่เพิ่งติดตั้งใหม่
71 ssh  openssl  mac 

6
Heartbleed: บริการอื่น ๆ ที่นอกเหนือจาก HTTPS ได้รับผลกระทบหรือไม่
ช่องโหว่ "อกหัก" OpenSSL ( CVE-2014-0160 ) ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ที่ให้บริการ HTTPS บริการอื่น ๆ ยังใช้ OpenSSL บริการเหล่านี้มีความเสี่ยงต่อการรั่วไหลของข้อมูลที่เหมือนหัวใจหรือไม่? ฉันกำลังคิดโดยเฉพาะ sshd ปลอดภัย SMTP, IMAP ฯลฯ - dovecot, exim & postfix เซิร์ฟเวอร์ VPN - openvpn และเพื่อน ๆ ทั้งหมดนี้ในระบบของฉันอย่างน้อยก็เชื่อมโยงกับไลบรารี OpenSSL

5
ตำแหน่งที่ดีที่สุดสำหรับใบรับรอง SSL และกุญแจส่วนตัวบน Ubuntu
บน Ubuntu ดูเหมือนว่าจะเป็นสถานที่ที่ดีที่สุดสำหรับไพรเวตคีย์ที่ใช้ในการลงนามใบรับรอง (สำหรับใช้โดย nginx) /etc/ssl/private/ คำตอบนี้เสริมว่าใบรับรองควรเข้าไป/etc/ssl/certs/แต่ดูเหมือนจะเป็นสถานที่ที่ไม่ปลอดภัย ทำ.crtไฟล์จะต้องมีการเก็บไว้ที่ปลอดภัยหรือว่าพวกเขาถือว่าสาธารณะ?

6
การสร้างใบรับรองที่ลงชื่อด้วยตัวเองด้วย openssl ที่ทำงานใน Chrome 58
ตั้งแต่ Chrome 58 จะไม่ยอมรับ certs ที่ลงชื่อด้วยตนเองซึ่งพึ่งพาCommon Name: https://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary% 7Csort อีกต่อไป: ความสัมพันธ์กัน% 7Cspell: เท็จ Subject Alt Nameแต่มันต้องใช้ ก่อนหน้านี้ฉันได้ปฏิบัติตามคำแนะนำเกี่ยวกับวิธีสร้างใบรับรองที่ลงชื่อด้วยตนเอง: https://devcenter.heroku.com/articles/ssl-certificate-selfซึ่งใช้งานได้ดีมากเพราะฉันต้องการserver.crtและserver.keyไฟล์สำหรับสิ่งที่ฉันทำ ตอนนี้ฉันต้องสร้าง certs ใหม่ที่รวมถึงSANความพยายามทั้งหมดของฉันที่ทำไม่ได้กับ Chrome 58 นี่คือสิ่งที่ฉันทำ: ฉันทำตามขั้นตอนในบทความ Heroku ที่กล่าวถึงข้างต้นเพื่อสร้างรหัส ฉันเขียนไฟล์กำหนดค่า OpenSSL ใหม่: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] …

3
ติดตั้ง openssl-dev บนเซิร์ฟเวอร์ Ubuntu
เพื่อรวบรวมNGinx ที่จำเป็นต้องติดตั้งopensslและopenssl-dev(ฉันกำลังทำตามคำแนะนำหนังสือ ) ดังนั้นฉันกำลังทำสิ่งนี้: sudo apt-get install openssl openssl-dev openssl-devแต่ฉันได้รับข้อผิดพลาดบอกฉันว่ามันเป็นไปไม่ได้ที่จะหา นอกจากนี้หลังจาก googling บางอย่างแล้วดูเหมือนว่าlibssl-devจะเป็นopenssl-devเช่นนั้นจริงหรือไม่? ( apt-getพบlibssl-devในเซิร์ฟเวอร์ของฉัน) นี่คือเวอร์ชั่นเซิร์ฟเวอร์ของฉัน: 2.6.32-22-server ยินดีต้อนรับความช่วยเหลือใด ๆ !
44 ubuntu  openssl 

4
การเชื่อมต่อกับ HTTPS ด้วย netcat (NC) [ปิด]
ฉันกำลังทำการบ้านที่วิทยาลัย ภารกิจคือดึงข้อมูลหน้าเว็บบน HTTPS โดยใช้ nc (netcat) เพื่อดึงหน้าผ่าน HTTP ฉันทำสิ่งนี้: cat request.txt | nc -w 5 <someserver> 80 ใน request.txt ฉันมีคำขอ HTTP 1.1 GET / HTTP/1.1 Host: <someserver> ตอนนี้ ... มันใช้งานได้ดี ฉันจะดึงข้อมูลหน้าเว็บที่ใช้ HTTPS ได้อย่างไร ฉันได้รับใบรับรองของหน้าเช่นนี้ และนี่คือจุดที่ฉันติดอยู่ openssl s_client -connect <someserver>:443
41 http  https  openssl  netcat 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.