คำถามติดแท็ก openssl

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการทำความเข้าใจและแก้ไขปัญหาความปลอดภัย Heartbleed CVE-2014-0160 AKA คืออะไร "Heartbleed" สาเหตุอะไรที่ระบบปฏิบัติการและเวอร์ชั่นของ OpenSSL มีความเสี่ยงมีอาการอะไรบ้างมีวิธีการตรวจสอบหาช่องโหว่ที่ประสบความสำเร็จหรือไม่ ฉันจะตรวจสอบว่าระบบของฉันได้รับผลกระทบได้อย่างไร? ช่องโหว่นี้จะบรรเทาลงได้อย่างไร? ฉันควรกังวลว่ากุญแจหรือข้อมูลส่วนตัวอื่น ๆ ของฉันถูกบุกรุกหรือไม่? ฉันควรคำนึงถึงผลข้างเคียงอะไรบ้าง

204 security  openssl  heartbleed 

ฉันต้องการดาวน์โหลดใบรับรอง SSL จากนั้นพูดhttps://www.google.comโดยใช้ wget หรือคำสั่งอื่น ๆ บรรทัดคำสั่ง unix ใด ๆ wget หรือ openssl?

182 ssl  ssl-certificate  openssl  wget 

ฉันใช้ Windows และได้รับไฟล์. cer ฉันจะดูรายละเอียดของมันได้อย่างไร

112 ssl-certificate  openssl  certificate 

ฉันใช้ CentOS 5.9 ฉันต้องการพิจารณาจาก linux shell หากเว็บเซิร์ฟเวอร์ระยะไกลสนับสนุน TLS 1.2 โดยเฉพาะ (เทียบกับ TLS 1.0) มีวิธีง่าย ๆ ในการตรวจสอบว่า? ฉันไม่เห็นตัวเลือกที่เกี่ยวข้องopensslแต่บางทีฉันอาจมองเห็นบางสิ่งบางอย่าง

102 linux  centos  openssl  tls 

ฉันมีไฟล์. crt มัดใบรับรอง การทำopenssl x509 -in bundle.crt -text -nooutเพียงแสดงใบรับรองรูท ฉันจะดูใบรับรองอื่น ๆ ทั้งหมดได้อย่างไร

101 ubuntu  security  ssl  ssl-certificate  openssl 

ในปี 2004 ฉันตั้งค่าการรับรองขนาดเล็กโดยใช้ OpenSSL บน Linux และสคริปต์การจัดการอย่างง่ายที่มาพร้อมกับ OpenVPN ตามคำแนะนำที่ฉันพบในขณะนั้นฉันตั้งค่าช่วงเวลาที่ใช้ได้สำหรับใบรับรองรูท CA เป็น 10 ปี ตั้งแต่นั้นมาฉันลงนามใบรับรองจำนวนมากสำหรับอุโมงค์ OpenVPN เว็บไซต์และเซิร์ฟเวอร์อีเมลซึ่งทั้งหมดนี้ก็มีช่วงเวลาที่ใช้งานได้ 10 ปี (ซึ่งอาจผิดปกติ แต่ฉันไม่รู้ตอนนั้นดีกว่า) ฉันพบคำแนะนำมากมายเกี่ยวกับการตั้งค่า CA แต่มีข้อมูลน้อยมากเกี่ยวกับการจัดการและโดยเฉพาะเกี่ยวกับสิ่งที่ต้องทำเมื่อใบรับรอง CA หลักหมดอายุซึ่งจะเกิดขึ้นในปี 2014 ดังนั้นฉันจึงมีสิ่งต่อไปนี้ คำถาม: ใบรับรองที่มีช่วงเวลาที่มีผลบังคับใช้ขยายหลังจากการหมดอายุของใบรับรอง CA หลักจะกลายเป็นไม่ถูกต้องทันทีที่หมดอายุในภายหลังหรือพวกเขาจะยังคงถูกต้อง (เพราะพวกเขาได้รับการลงนามในช่วงระยะเวลาที่ใบรับรอง CA) การดำเนินการใดที่จำเป็นในการต่ออายุใบรับรอง CA หลักและตรวจสอบให้แน่ใจว่าการเปลี่ยนผ่านหมดอายุนั้นเป็นไปอย่างราบรื่น ฉันสามารถลงนามใบรับรอง CA รูทปัจจุบันอีกครั้งโดยใช้ช่วงเวลาที่ต่างกันและอัปโหลดใบรับรองที่ลงนามใหม่ไปยังลูกค้าเพื่อให้ใบรับรองลูกค้ายังคงใช้ได้หรือไม่ หรือฉันต้องการแทนที่ใบรับรองไคลเอ็นต์ทั้งหมดด้วยใบรับรองใหม่ที่ลงชื่อโดยใบรับรองรูท CA ใหม่หรือไม่ ควรต่ออายุใบรับรอง CA รูตเมื่อใด ใกล้หมดอายุหรือเวลาที่เหมาะสมก่อนหมดอายุหรือไม่ หากการต่ออายุใบรับรองรูท CA กลายเป็นงานชิ้นสำคัญฉันควรทำอย่างไรดีกว่าตอนนี้เพื่อให้แน่ใจว่าการเปลี่ยนแปลงจะราบรื่นขึ้นในการต่ออายุครั้งถัดไป (สั้นโดยกำหนดระยะเวลาที่ใช้ได้ถึง …

96 openssl  certificate-authority 

ฉันกำลังมองหาวิธีที่เชื่อถือได้และพกพาเพื่อตรวจสอบเวอร์ชัน OpenSSL บน GNU / Linux และระบบอื่น ๆ เพื่อให้ผู้ใช้สามารถค้นพบว่าพวกเขาควรอัปเกรด SSL ของพวกเขาหรือไม่เพราะ Heartbleed bug ฉันคิดว่ามันจะง่าย แต่ฉันพบปัญหาอย่างรวดเร็วบน Ubuntu 12.04 LTS ด้วย OpenSSL 1.0.1g ล่าสุด: openssl เวอร์ชัน -a ฉันคาดหวังว่าจะเห็นเวอร์ชันเต็ม แต่ฉันได้รับสิ่งนี้: OpenSSL 1.0.1 14 มีนาคม 2012 สร้างเมื่อ: อ. มิ.ย. 4 07:26:06 UTC 2013 แพลตฟอร์ม: [... ] สำหรับความประหลาดใจอันไม่พึงประสงค์ของฉันจดหมายฉบับไม่แสดง ไม่ f ไม่มี g เพียงแค่ "1.0.1" และนั่นคือ …

88 linux  ubuntu  security  openssl  heartbleed 

ฉันทำงานกับ Apache2 และ Passenger สำหรับโครงการ Rails ฉันต้องการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองเพื่อวัตถุประสงค์ในการทดสอบ sudo openssl rsa -des3 -in server.key -out server.key.new เมื่อฉันป้อนคำสั่งดังกล่าวจะกล่าวว่า writing RSA key Enter PEM pass phrase: ถ้าฉันไม่ป้อน pass phrse, im ได้รับข้อผิดพลาดด้านล่าง unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: …

83 apache-2.2  https  openssl  passphrase 

การใช้ OpenSSL จากบรรทัดคำสั่งใน Linux มีวิธีตรวจสอบคีย์ (สาธารณะหรือส่วนตัว) เพื่อกำหนดขนาดของคีย์หรือไม่?

73 linux  encryption  openssl 

ฉันกำลังพยายามสร้างรหัสส่วนตัวและมีปัญหา เมื่อฉันใช้ssh-keygen -t rsa -b 4096 -C "your_email@example.com"ฉันได้รับรหัสส่วนตัวในรูปแบบต่อไปนี้ -----BEGIN OPENSSH PRIVATE KEY----- uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END OPENSSH PRIVATE KEY----- และนี่ไม่ได้รับการยอมรับสำหรับแอปพลิเคชันที่ฉันพยายามใช้ ฉันคาดว่าจะมีรหัสในรูปแบบ RSA ต่อไปนี้ -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9 uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END RSA PRIVATE KEY----- ฉันจะสร้างรูปแบบที่ถูกต้องได้อย่างไร นี่เป็นเรื่องแปลกเพราะแม็คอื่นที่ฉันสร้างขึ้นนั้นถูกต้องทุกรูปแบบยกเว้นอันที่ฉันมีปัญหา ฉันใช้งาน Mac OS Mojave ที่เพิ่งติดตั้งใหม่

71 ssh  openssl  mac 

ช่องโหว่ "อกหัก" OpenSSL ( CVE-2014-0160 ) ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ที่ให้บริการ HTTPS บริการอื่น ๆ ยังใช้ OpenSSL บริการเหล่านี้มีความเสี่ยงต่อการรั่วไหลของข้อมูลที่เหมือนหัวใจหรือไม่? ฉันกำลังคิดโดยเฉพาะ sshd ปลอดภัย SMTP, IMAP ฯลฯ - dovecot, exim & postfix เซิร์ฟเวอร์ VPN - openvpn และเพื่อน ๆ ทั้งหมดนี้ในระบบของฉันอย่างน้อยก็เชื่อมโยงกับไลบรารี OpenSSL

65 security  openssl  heartbleed 

บน Ubuntu ดูเหมือนว่าจะเป็นสถานที่ที่ดีที่สุดสำหรับไพรเวตคีย์ที่ใช้ในการลงนามใบรับรอง (สำหรับใช้โดย nginx) /etc/ssl/private/ คำตอบนี้เสริมว่าใบรับรองควรเข้าไป/etc/ssl/certs/แต่ดูเหมือนจะเป็นสถานที่ที่ไม่ปลอดภัย ทำ.crtไฟล์จะต้องมีการเก็บไว้ที่ปลอดภัยหรือว่าพวกเขาถือว่าสาธารณะ?

62 ssl  ssl-certificate  openssl 

ตั้งแต่ Chrome 58 จะไม่ยอมรับ certs ที่ลงชื่อด้วยตนเองซึ่งพึ่งพาCommon Name: https://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary% 7Csort อีกต่อไป: ความสัมพันธ์กัน% 7Cspell: เท็จ Subject Alt Nameแต่มันต้องใช้ ก่อนหน้านี้ฉันได้ปฏิบัติตามคำแนะนำเกี่ยวกับวิธีสร้างใบรับรองที่ลงชื่อด้วยตนเอง: https://devcenter.heroku.com/articles/ssl-certificate-selfซึ่งใช้งานได้ดีมากเพราะฉันต้องการserver.crtและserver.keyไฟล์สำหรับสิ่งที่ฉันทำ ตอนนี้ฉันต้องสร้าง certs ใหม่ที่รวมถึงSANความพยายามทั้งหมดของฉันที่ทำไม่ได้กับ Chrome 58 นี่คือสิ่งที่ฉันทำ: ฉันทำตามขั้นตอนในบทความ Heroku ที่กล่าวถึงข้างต้นเพื่อสร้างรหัส ฉันเขียนไฟล์กำหนดค่า OpenSSL ใหม่: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] …

52 ssl  ssl-certificate  openssl  chrome 

เพื่อรวบรวมNGinx ที่จำเป็นต้องติดตั้งopensslและopenssl-dev(ฉันกำลังทำตามคำแนะนำหนังสือ ) ดังนั้นฉันกำลังทำสิ่งนี้: sudo apt-get install openssl openssl-dev openssl-devแต่ฉันได้รับข้อผิดพลาดบอกฉันว่ามันเป็นไปไม่ได้ที่จะหา นอกจากนี้หลังจาก googling บางอย่างแล้วดูเหมือนว่าlibssl-devจะเป็นopenssl-devเช่นนั้นจริงหรือไม่? ( apt-getพบlibssl-devในเซิร์ฟเวอร์ของฉัน) นี่คือเวอร์ชั่นเซิร์ฟเวอร์ของฉัน: 2.6.32-22-server ยินดีต้อนรับความช่วยเหลือใด ๆ !

44 ubuntu  openssl 

ฉันกำลังทำการบ้านที่วิทยาลัย ภารกิจคือดึงข้อมูลหน้าเว็บบน HTTPS โดยใช้ nc (netcat) เพื่อดึงหน้าผ่าน HTTP ฉันทำสิ่งนี้: cat request.txt | nc -w 5 <someserver> 80 ใน request.txt ฉันมีคำขอ HTTP 1.1 GET / HTTP/1.1 Host: <someserver> ตอนนี้ ... มันใช้งานได้ดี ฉันจะดึงข้อมูลหน้าเว็บที่ใช้ HTTPS ได้อย่างไร ฉันได้รับใบรับรองของหน้าเช่นนี้ และนี่คือจุดที่ฉันติดอยู่ openssl s_client -connect <someserver>:443

41 http  https  openssl  netcat