คำถามติดแท็ก ssl

ฉันกำลังเตรียมเซิร์ฟเวอร์ของฉันในDigitalOceanและแม้ว่าฉันจะได้รับคะแนน A + จาก ssllabs https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz เมื่อฉันเชื่อมต่อกับเว็บไซต์ของฉันhttps://www.zandu.bizหรือhttps://zandu.bizฉันจะได้รับการแจ้งเตือนที่ไม่ปลอดภัยภายใน Chrome ฉันจะแก้ปัญหานี้ได้อย่างไร

10 ssl  apache-2.4  lets-encrypt 

เนื่องจากฉันต้องการตั้งค่าแอตทริบิวต์ "ต้องเย็บเล่ม" ในใบรับรอง SSL ของฉันฉันจึงทำการวิจัยเพื่อค้นหาว่าบริการทั้งหมดของฉันรองรับการเย็บเล่ม OCSP หรือไม่ จนถึงตอนนี้ฉันพบแล้วว่า Apache ทำสิ่งที่ฉันสามารถยืนยันได้โดยใช้ SSLLabs.com แต่นอกเหนือจากนั้นฉันไม่สามารถยืนยันได้หากบริการอื่น ๆ ของฉัน (SMTP และ IMAP) รองรับการเย็บเล่ม OCSP ด้วย ตอนนี้คำถามของฉันคือ Postfix และ Dovecot รองรับหรือไม่ PS: ฉันรู้ว่าใบรับรองดูเหมือนจะไม่สำคัญเมื่อมาถึงการขนส่งทางไปรษณีย์ แต่ฉันต้องการหลีกเลี่ยงปัญหาใด ๆ ที่เป็นไปได้ถ้าฉันเพิ่มคุณลักษณะและลูกค้าอาจปฏิเสธที่จะทำงานเพราะสิ่งนั้นในขณะที่คนอื่น ๆ สามารถทำได้ ได้ประโยชน์จากมัน

10 ssl  postfix  dovecot  ocsp 

ฉันสามารถติดตั้งกุญแจสาธารณะได้หรือไม่เมื่อฉันตั้งค่า cronjob เพื่อต่ออายุใบรับรอง LetsEncrypt ทุก ๆ 30 วัน? หากต่ออายุใบรับรองใหม่คีย์สาธารณะจะได้รับการต่ออายุด้วยหรือไม่

10 ssl  ssl-certificate  tls  http-headers  public-key 

ใบรับรอง SSL สำหรับเว็บไซต์ของฉันhttps://www.snipsalonsoftware.com/ไม่สามารถใช้งานบน Android ในการแก้ไขปัญหานี้ฉันได้เสียบไซต์ของฉันเข้ากับเครื่องมือทดสอบ Qualys SSL Labs: https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104 รายงานนี้ดูเหมือนจะบอกฉันว่าฉันมี "ปัญหาห่วงโซ่" บางสิ่งบางอย่าง "ไม่สมบูรณ์" แต่ฉันมีปัญหาในการทำความเข้าใจสิ่งที่ไม่สมบูรณ์ ในส่วนถัดไปภายใต้ "เส้นทางการรับรอง" ฉันเห็นเป็นสีส้ม (และฉันเดาว่าสีส้มหมายถึง "ไม่ดี") "ดาวน์โหลดเพิ่มเติม" ฉันไม่รู้ว่าสิ่งนี้มีความหมายอย่างไรหรือจะแก้ไขอย่างไร ฉันพบกระทู้นี้แต่ฉันไม่สามารถบอกวิธีการแปลสิ่งที่พวกเขากำลังพูดถึงวิธีแก้ปัญหาสำหรับฉัน ฉันควรทำอย่างไรดี?

10 ssl 

ฉันมีคำถามที่เกิดขึ้นในคำถามที่แตกต่างกัน แต่ฉันยังหาวิธีแก้ปัญหาไม่ได้ ปัญหาของฉันคือฉันกำลังโฮสต์ไซต์บน apache 2.4 บนเดเบียนด้วย SSL และ Internet Explorer 7 บน windows xp แสดง Internet Explorer cannot display the webpage ฉันมีโฮสต์เสมือนเดียวเท่านั้นที่ใช้ ssl แต่โฮสต์เสมือนที่ต่างกันซึ่งใช้ http นี่คือการกำหนดค่าของฉันสำหรับเว็บไซต์ที่เปิดใช้งาน SSL (etc / sites-avaible / default-ssl ไม่ได้เชื่อมโยง) <Virtualhost xx.yyy.86.193:443> ServerName www.my-certified-domain.de ServerAlias my-certified-domain.de DocumentRoot "/var/local/www/my-certified-domain.de/current/www" Alias /files "/var/local/www/my-certified-domain.de/current/files" CustomLog /var/log/apache2/access.my-certified-domain.de.log combined <Directory "/var/local/www/my-certified-domain.de/current/www"> AllowOverride …

10 apache-2.2  ssl  internet-explorer 

สถานการณ์: แขกของโรงแรมพยายามเชื่อมต่ออินเทอร์เน็ตผ่านทางพอร์ทัลที่เป็นเชลยของเรา ปัญหา: Google, Yahoo และไซต์อื่น ๆ อีกมากมายที่เปลี่ยนเส้นทางโฮมเพจทั้งหมดไปยัง HTTPS เพื่อให้แขกได้รับข้อผิดพลาดใบรับรองเมื่อเราเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบของเรา เห็นคุณค่าของ SSL คือการทำสิ่งนี้ แต่สงสัยว่ามีวิธีอื่นในการจัดการกระบวนการยืนยันแขกเพื่อยืนยันตัวตนก่อนที่จะเปิดใช้งานการเข้าถึงผ่านไฟร์วอลล์หรือไม่ มันทำให้แขกประหลาดใจที่ไม่เข้าใจ โดยทั่วไปต้องการสถาปัตยกรรมที่แตกต่างกันสำหรับกระบวนการพอร์ทัล / การพิสูจน์ตัวตนที่เป็นเชลยและสงสัยว่ามีความคิดเห็นใดที่มี ขอบคุณ

10 ssl  redirect 

ตอนนี้ฉันยังไม่ได้ใช้ SNI กับ nginx เลย แต่เนื่องจากกลุ่มที่อยู่ IP ค่อนข้างเต็มและการสนับสนุน XP เชิงพาณิชย์กำลังจะหยุด (ในที่สุด) ฉันกำลังคิดที่จะแปลงบางไซต์เป็น SNI ฉันตระหนักถึงข้อ จำกัด และข้อผิดพลาดทั่วไปที่อาจมาพร้อมกับ SNI (ปัญหา XP, เบราว์เซอร์ที่เก่ามาก) แต่นอกเหนือจากนั้นมีอะไรที่ฉันควรระวัง? Like - ข้อผิดพลาดที่เกี่ยวข้องกับ nginx เมื่อใช้ SNI - ประเด็น / ข้อบกพร่องกับเบราว์เซอร์ (เด่น!) ล่าสุด

10 nginx  ssl  sni 

ฉันมี Puppet Master / Agent ตั้งค่าและลงนามใบรับรองสำหรับตัวแทนบน master เรียบร้อยแล้ว อย่างไรก็ตามเมื่อฉันเรียกใช้puppet agent --testฉันพบความล้มเหลวที่มีลักษณะเช่นนี้: Warning: Unable to fetch my node definition, but the agent run will continue: Warning: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [certificate signature failure for /CN=hostname.domain.com] Info: Retrieving plugin Error: /File[/var/lib/puppet/lib]: Failed to generate additional …

10 debian  ssl  puppet  puppetmaster  puppet-agent 

มีวิธีปิดการใช้งานการบีบอัด SSL / TLS ใน Apache 2.2.x เมื่อใช้ mod_ssl หรือไม่? ถ้าไม่ผู้คนกำลังทำอะไรเพื่อลดผลกระทบของ CRIME / BEAST ในเบราว์เซอร์รุ่นเก่า ลิ้งค์ที่มีความเกี่ยวข้อง: https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

ประการแรกฉันขอโทษสำหรับภาษาอังกฤษที่ไม่ดีของฉัน ฉันยังเรียนรู้อยู่ นี่มันไป: เมื่อฉันโฮสต์เว็บไซต์เดียวต่อที่อยู่ IP ฉันสามารถใช้ SSL "บริสุทธิ์" (ไม่มี SNI) และการแลกเปลี่ยนคีย์เกิดขึ้นก่อนที่ผู้ใช้จะบอกชื่อโฮสต์และเส้นทางที่เขาต้องการเรียกคืน หลังจากการแลกเปลี่ยนคีย์ข้อมูลทั้งหมดสามารถแลกเปลี่ยนได้อย่างปลอดภัย ที่กล่าวว่าหากใครก็ตามที่กำลังดมกลิ่นเครือข่ายจะไม่มีการรั่วไหลของข้อมูลที่เป็นความลับ * (ดูเชิงอรรถ) ในทางกลับกันถ้าฉันโฮสต์หลายเว็บไซต์ต่อที่อยู่ IP ฉันอาจจะใช้ SNI และดังนั้นผู้เยี่ยมชมเว็บไซต์ของฉันต้องบอกชื่อโฮสต์เป้าหมายก่อนที่ฉันจะสามารถให้ใบรับรองที่ถูกต้องแก่เขาได้ ในกรณีนี้ใครบางคนที่สูดดมเครือข่ายของเขาสามารถติดตามโดเมนเว็บไซต์ทั้งหมดที่เขากำลังเข้าถึงได้ มีข้อผิดพลาดใด ๆ ในสมมติฐานของฉันหรือไม่? มิเช่นนั้นจะไม่แสดงถึงความเป็นส่วนตัวของผู้ใช้ถ้าสมมติว่าผู้ใช้นั้นใช้ DNS ที่เข้ารหัสด้วยเช่นกัน เชิงอรรถ: ฉันยังตระหนักว่าดมกลิ่นสามารถทำการค้นหาแบบย้อนกลับบนที่อยู่ IP และค้นหาเว็บไซต์ที่มีการเยี่ยมชม แต่ชื่อโฮสต์ที่เดินทางผ่านข้อความผ่านสายเคเบิลเครือข่ายดูเหมือนจะทำให้โดเมนที่ใช้คำหลักบล็อกง่ายขึ้นสำหรับเจ้าหน้าที่การเซ็นเซอร์

10 ssl  https  privacy  sni 

ที่ทำงานฉันมีเว็บอินเตอร์เฟสมากมายที่ใช้ http ธรรมดาหรือใบรับรองที่ลงชื่อด้วยตนเอง (อินเตอร์เฟสการจัดการบาลานเซอร์โหลด, วิกิภายใน, cacti, ... ) ไม่สามารถเข้าถึงได้จาก vlans / เครือข่ายภายนอกที่เฉพาะเจาะจง สำหรับการใช้งานที่บ้านฉันใช้ใบรับรองcacert SSL ฉันสงสัยว่าฉันควรแนะนำให้นายจ้างของฉันใช้ใบรับรอง SSL ของ cacert แทนที่จะเป็นใบรับรองที่ลงชื่อด้วยตนเองและ http ธรรมดา ใครใช้ cacert ssl ในการผลิต? อะไรคือข้อดี / ข้อเสีย? ปรับปรุงความปลอดภัยหรือไม่ จัดการง่ายกว่าไหม? มีอะไรที่คาดไม่ถึง? มันจะส่งผลกระทบต่อการสแกนที่มีคุณสมบัติ? ฉันจะโน้มน้าวพวกเขาอย่างไร แน่นอนใบรับรองที่ชำระเงินสำหรับเว็บไซต์สาธารณะจะยังคงไม่เปลี่ยนแปลง แก้ไข: (อยากรู้อยากเห็น) ใบรับรอง SSL ฟรีจาก บริษัท ดูเหมือนจะไม่ได้เป็นชั้น 3 ฉันต้องแสดงหนังสือเดินทางของฉันและนำเสนอทางร่างกายเพื่อรับชั้น 3 จาก cacerts ไม่มีคำเตือนในเบราว์เซอร์สำหรับแต่ละคลาส 1 หรือไม่ อย่างไรก็ตามฉันมีคำถามเดียวกันเกี่ยวกับ …

10 security  ssl 

ลูกค้ามีใบรับรอง SSL สำหรับโดเมน www.site.com เท่านั้นไม่ใช่ site.com การเปลี่ยนเส้นทางสำหรับ HTTP ปกติไม่ใช่ปัญหาผ่าน mod_rewrite อย่างไรก็ตามวิธีนี้ดูเหมือนจะล้มเหลวสำหรับเราสำหรับ HTTPS เราต้องการที่จะเปลี่ยนเส้นทางhttps://site.comร้องขอhttps://www.site.com สามารถทำได้โดยไม่แจ้งเตือนใบรับรองที่ไม่ถูกต้องในเบราว์เซอร์หรือรับใบรับรองตัวแทน?

10 apache-2.2  ssl  mod-rewrite  https 

ฉันมีสิทธิ์จัดการ ~ 5 CSR SSL ต่อสัปดาห์ตรวจสอบความถูกต้องก่อนส่งต่อไปยัง CA เพื่อดำเนินการ ฉันใช้ OpenSSL บนเครื่อง Ubuntu เพื่อตรวจสอบว่าถูกต้องทดสอบสิ่งต่าง ๆ เช่นชื่อ OU ที่ถูกต้อง CN ที่สมเหตุสมผลขนาดคีย์> = 2048 บิตเป็นต้นเนื่องจากบางครั้งคำขอของเราไม่ถูกต้อง วันก่อนฉันได้รับคำขอต่ออายุจากเครื่อง IIS7 ฉันไม่สามารถหาวิธีอ่านมันได้เลยโดยใช้ OpenSSL ถูกต้องเนื่องจาก CA ของฉันยอมรับ ... 'file (1)' กล่าวว่าเป็น "ข้อความคำขอการลงนามใบรับรองความปลอดภัย RFC1421" ซึ่งเป็นสิ่งที่ระบุไว้สำหรับ ~ 50% ของ CSR ที่ฉันมีที่นี่ (ที่เหลือคือ "คำขอใบรับรอง PEM") $ head iis7rcsr -----BEGIN NEW CERTIFICATE …

10 iis-7  ssl  certificate  openssl 

ฉันต้องการวาง stunnel ไว้ด้านหน้า haproxy 1.4 เพื่อจัดการปริมาณการใช้ HTTPS ฉันยังต้องการ stunnel เพื่อเพิ่มส่วนหัวX-Forwarded-For สามารถทำได้โดยแพทช์ "stunnel-4.xx-xforwarded-for.diff" จากเว็บไซต์ haproxy อย่างไรก็ตามคำอธิบายดังกล่าว: โปรดทราบว่าแพทช์นี้ไม่สามารถทำงานได้กับ ... คำถามของฉันคืออะไรในทางปฏิบัติสิ่งนี้สำหรับฉัน ฉันไม่แน่ใจ หากนี่เป็นเรื่องที่รักษาไว้ระหว่างกัน ลูกค้าและ stunnel stunnel และ haproxy หรือเซิร์ฟเวอร์ haproxy และแบ็กเอนด์? สิ่งนี้มีความหมายอย่างไรต่อประสิทธิภาพการทำงาน: ถ้าฉันมี 100 ไอคอนบนหน้าเว็บเบราว์เซอร์จะต้องต่อรอง 100 การเชื่อมต่อ SSL เต็มรูปแบบหรือสามารถใช้การเชื่อมต่อ SSL อีกครั้งเพียงแค่สร้างการเชื่อมต่อ TCP ใหม่

10 ssl  https  tcp  haproxy  stunnel 

ฉันต้องการสร้างเช็คของเว็บไซต์ปลอดภัยของฉัน ตรวจสอบทั้งหมดที่ต้องทำคือการเข้าสู่เว็บไซต์ด้วยรายละเอียดการเข้าสู่ระบบที่ฉันผ่านสคริปต์ ไม่มีใครรู้เกี่ยวกับปลั๊กอินหรือสคริปต์ที่จะทำให้ฉันทำเช่นนี้? ฉันได้ลองใช้check_httpแต่ฉันประสบความสำเร็จแม้ว่าเว็บไซต์จะถูกเปลี่ยนเส้นทางไปยังหน้าข้อผิดพลาด

10 ssl  nagios  website  http-status-code