คำถามติดแท็ก ssl

ฉันพยายามโน้มน้าวให้ลูกค้าชำระค่า SSL สำหรับเว็บไซต์ที่ต้องมีการเข้าสู่ระบบ ฉันต้องการให้แน่ใจว่าฉันเข้าใจสถานการณ์ที่สำคัญที่ใครบางคนสามารถเห็นรหัสผ่านที่ถูกส่ง ความเข้าใจของฉันคือที่ใด ๆ ของการกระโดดข้ามทางสามารถใช้ตัววิเคราะห์แพ็คเก็ตเพื่อดูสิ่งที่ถูกส่ง สิ่งนี้ดูเหมือนว่าต้องการให้แฮ็กเกอร์ใด ๆ (หรือมัลแวร์ / บ็อตเน็ต) อยู่ในซับเน็ตเดียวกันกับแพ็กเก็ตใด ๆ ที่แพ็คเก็ตใช้เพื่อไปถึงปลายทาง นั่นถูกต้องใช่ไหม? สมมติว่ารสนิยมบางอย่างของความต้องการเครือข่ายย่อยนี้เป็นจริงฉันต้องกังวลเกี่ยวกับการกระโดดทั้งหมดหรือแค่อันแรก? คนแรกที่ฉันเห็นได้ชัดว่ากังวลว่าพวกเขาอยู่ในเครือข่าย Wifi สาธารณะเพราะใคร ๆ ก็สามารถฟังได้ ฉันควรเป็นกังวลว่าเกิดอะไรขึ้นในซับเน็ตที่แพ็กเก็ตจะเดินทางข้ามด้านนอกนี้ ฉันไม่รู้เกี่ยวกับทราฟฟิกเครือข่าย แต่ฉันคิดว่ามันไหลผ่านดาต้าเซ็นเตอร์ของผู้ให้บริการหลัก ๆ และไม่มีเวกเตอร์การโจมตีที่ฉ่ำอยู่ที่นั่นมากมาย แต่โปรดแก้ไขฉันหากฉันผิด มีเวกเตอร์อื่น ๆ ที่น่าเป็นห่วงนอกคนที่กำลังฟังด้วยตัววิเคราะห์แพ็คเก็ตหรือไม่? ฉันเป็นเครือข่ายและความปลอดภัย noob ดังนั้นโปรดตั้งตรงถ้าฉันใช้คำศัพท์ที่ผิดในสิ่งนี้

10 security  ssl  https  hacking  packet-sniffer 

ฉันพยายามตั้งค่าเว็บเซิร์ฟเวอร์ apache-ubuntu-php เว็บเซิร์ฟเวอร์ของฉันจะโฮสต์เว็บไซต์ SSL หลายแห่งแต่ละไซต์ SSL จะมีที่อยู่ IP ของตัวเอง (เว้นแต่จะมีวิธีที่ดีกว่าในการทำเช่นนี้) ดังนั้นฉันคิดว่าขั้นตอนแรกคือการรับ apache ที่จะรับรู้อย่างน้อยสองที่อยู่ IP ที่แตกต่างกัน ตอนนี้ผมมี SSL และไม่ใช่ SSL รุ่นของเว็บไซต์ที่เป็นhttp://mysite.comและhttps://mysite.com แม้ว่าทั้งสองกำลังทำงานบนเซิร์ฟเวอร์ของฉัน แต่ฉันไม่สามารถใช้ทั้งสองที่อยู่ IP ที่แตกต่างกัน ตอนนี้ทั้งคู่กำลังใช้ IP 1.1.1.1 ฉันซื้อที่อยู่ IP ที่สอง 2.2.2.2 แต่https://mysite.comจะไม่ยอมรับและ firefox จะบ่นกับข้อผิดพลาด "ssl_error_rx_record_too_long" นี่คือการดูไฟล์ 2 vhost ของฉัน / etc / apache2 / เว็บไซต์ที่เปิดใช้งาน / 000 เริ่มต้น #NameVirtualHost 1.1.1.1:80 …

10 apache-2.2  ubuntu  ssl  virtualhost 

ฉันมีใบรับรอง SSL ในรูปแบบ. p7b ที่ฉันต้องการแปลงเป็น. pfx หากฉันลองผ่านการจัดการใบรับรอง windows ตัวเลือกสำหรับผู้เชี่ยวชาญเนื่องจาก. pfx ถูกปิดใช้งาน ลองใช้ openssl ฉันได้พบคำสั่งสองคำสั่งต่อไปนี้เพื่อทำการแปลง: openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer แต่ฉันไม่แน่ใจว่าจะใช้คีย์ใดสำหรับคำสั่ง teh esecond หรือใบรับรอง CACert.cer หมายถึงอะไร ฉันจะแปลงคีย์นี้เป็นรูปแบบ. pfx ได้อย่างไร

10 ssl  certificate  encryption  openssl 

ฉันกำลังมองหาการได้รับใบรับรอง SSL ไม่กี่โดเมนเพื่อให้ครอบคลุมต่อไปนี้: autodiscover.example.com remote.example.com www.example.com ใบรับรอง Wildcard แพงเกินไปดังนั้นฉันจะซื้อใบรับรองเดียวสำหรับแต่ละโดเมนย่อย (ฉันมีที่อยู่ IP เพียงพอที่จะไปไหนมาไหน) คำถามของฉันคืออะไรทำให้ใบรับรอง $ 10 ดีกว่าใบรับรอง $ 100 ใช้ตัวอย่างเช่นที่ผลิตภัณฑ์ GeoTrust ฉันรู้ว่า EV คืออะไร (ไม่ต้องการ) และฉันรู้ว่า Secure Seal คืออะไร (ผู้ใช้ของเราเชื่อใจเราอยู่แล้วดังนั้นไม่ต้องการมัน) แต่ทำไมฉันถึงต้องใช้ QuickSSL ในราคา $ 69 เมื่อฉันจะได้รับ RapidSSL ในราคา $ 10 ข้อแตกต่างคือ "การจดจำแบรนด์" (ปานกลางถึงปานกลาง) และการประกันภัย ใครบ้างที่สามารถแพร่กระจายความรู้เกี่ยวกับสิ่งที่พวกเขาหมายถึง "การรับรู้แบรนด์"? เว็บไซต์สาธารณะของเราได้รับความไว้วางใจจากผู้ใช้ของเราอยู่แล้วและอีกสองโดเมนย่อยนั้นมีไว้สำหรับ Outlook Anywhere (และจะไม่ปรากฏในเบราว์เซอร์)

10 ssl 

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ SSL VPN ไคลเอนต์ฟรีที่ดีที่สุดที่ทำงานบนไคลเอ็นต์ windows 64 และ 32 บิตคืออะไร

10 windows  vpn  ssl  64-bit  x86 

บนเซิร์ฟเวอร์ Debian ที่มี nginx ฉันไม่ได้รับการตอบกลับจากเว็บเซิร์ฟเวอร์ผ่าน HTTPS และ IPv6 HTTP ใช้งานได้ดี netstat รายงานพอร์ต 443 ที่ฟังที่อยู่ IPv6 ไฟร์วอลล์เปิดอยู่ ipv6scanner.com รายงานพอร์ต 443 ที่เปิดอยู่ ภายใน (ผ่านเทอร์มินัล) wget และ curl ได้รับการตอบสนองที่ถูกต้องดังนั้นการกำหนดค่า nginx ก็โอเค ไม่มีสัญญาณของข้อผิดพลาดจาก nginx error.log ไม่มีการบันทึกใน access.log เมื่อล้มเหลวดังนั้นการสื่อสารอาจไม่ถึงเว็บเซิร์ฟเวอร์ DNS ไม่เป็นไร การแปลใช้งานได้และการเชื่อมต่อไม่ทำงานแม้จะเข้าถึงที่อยู่ IP โดยตรง ทุกความพยายามในการเชื่อมต่อจาก "ภายนอก" (หมายถึงนอกเครือข่ายจากอินเทอร์เน็ต) ล้มเหลว (เว็บเบราว์เซอร์, telnet, ipv6-test.com, curl ... ) ไม่มีการตอบสนองเลย …

10 nginx  ssl  ipv6 

ฉันสร้างใบรับรอง SSL ใหม่โดยใช้บริการของ AWS สำหรับโดเมนย่อยที่ชี้ไปยังอินสแตนซ์ Elastic Beanstalk ปรากฏในตัวจัดการใบรับรองอย่างถูกต้อง ... แต่จะไม่ปรากฏในเมนูดร็อปดาวน์ Load Balancer ของอินสแตนซ์ EB ... ตามเอกสารประกอบ (การกำหนดค่า Load Balancer ของ Elastic Beanstalk Environment ของคุณเพื่อยกเลิก HTTPS ) สิ่งที่ฉันต้องทำคือ "เลือกใบรับรองของคุณจากเมนูดรอปดาวน์รหัสใบรับรอง SSL" แต่ไม่มีอยู่ ฉันพยายามเพิ่มใบรับรอง SSL ผ่านไฟล์. config โดยใช้ CLI และฉันได้รับข้อผิดพลาดดังต่อไปนี้: ข้อผิดพลาด: บริการ: AmazonCloudFormation, ข้อความ: สแต็กชื่อ 'awseb-e-upxkf5kr8b-stack' การดำเนินการยกเลิก สถานะปัจจุบัน: 'UPDATE_ROLLBACK_IN_PROGRESS' เหตุผล: null ข้อผิดพลาด: การอัปเดตตัวโหลดบาลานซ์ชื่อ: …

10 ssl  amazon-web-services  elastic-beanstalk 

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ตัวอย่าง: ใบรับรอง Wildcard SSL สำหรับ* .example.comติดตั้งในสองกล่องที่แตกต่างกัน hostEU.example.com A 60.70.80.90 hostUS.example.com A 200.210.220.240 ฉันคิดว่านี่เป็นสถานการณ์ที่สมบูรณ์แบบซึ่งชื่อโฮสต์จริงไม่ได้อยู่ใน IP เดียวกัน (หรือแม้แต่ช่องเดียวกันเพื่อเห็นว่า) สมมติฐานของฉันถูกต้องหรือไม่

10 ssl  ip  ssl-certificate  hostname  wildcard 

ฉันต้องการสร้างใบรับรองที่ลงชื่อด้วยตนเองสำหรับเว็บไซต์ ใบรับรองเก่าหมดอายุไม่กี่วันที่ผ่านมา มี NameVirtualHosts มากกว่าหนึ่งโฮสต์บนระบบ คำสั่งที่ฉันใช้ในการสร้างใบรับรองนั้นนำมาจากเว็บไซต์กวดวิชาเดียวและคือ: openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -out server.key openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt หลังจากนี้ในไฟล์ ssl.conf ฉันได้ระบุไว้ในส่วน VirtualHost พร้อมกับการตั้งค่าเก่าโดยผู้ดูแลระบบคนอื่น SSLEngine on SSLCertificateFile <full_path>/server.crt SSLCertificateKeyFile <full_path>/server.key …

10 apache-2.2  ssl  certificate  openssl 

tl; dr แก้ไข ฉันใช้งาน Jenkins เป็นระยะเวลาหนึ่งด้วยใบรับรองที่ลงนามเองซึ่งทำงานได้ดียกเว้นความยุ่งยากในการสร้างข้อยกเว้นการตรวจสอบใบรับรองในเบราว์เซอร์ ดังนั้นวันนี้ฉันได้รับใบรับรอง Tier 1 ฟรีจากStartSSLเปลี่ยนเส้นทาง/etc/sysconfig/jenkinsและเริ่มบริการใหม่ แต่มันไม่ทำงานเลย: $ openssl s_client -connect localhost:8080 -debug CONNECTED(00000003) write to 0xdce210 [0xdeeca0] (171 bytes => 171 (0xAB)) 0000 - 16 03 01 00 a6 01 00 00-a2 03 03 52 e3 f5 18 90 ...........R.... 0010 - e2 24 10 …

9 ssl  jenkins 

ขณะนี้เรามีฟาร์มเซิร์ฟเวอร์ที่โฮสต์ 2 แอปพลิเคชัน - ทั้งสองแอปพลิเคชันทำงานบนเซิร์ฟเวอร์ทั้งหมด เราต้องการแยกสิ่งนี้เพื่อให้เรามีเซิร์ฟเวอร์ฟาร์มเฉพาะสำหรับแต่ละแอพ (เรามีเหตุผลที่ดีในเรื่องนี้) เราหวังว่าจะมี load-balancer เพียงตัวเดียวต่อหน้าเซิร์ฟเวอร์ทั้งหมดซึ่งจะกำหนดเส้นทางการรับส่งข้อมูลไปยังฟาร์มที่ถูกต้องตามชื่อโฮสต์ แต่เราต้องการบำรุงรักษา SSL ไปยังเว็บเซิร์ฟเวอร์ ดูเหมือนว่าเราเตอร์ที่เรากำลังเสนอไม่ได้ทำเช่นนี้ ฉันขอขอบคุณที่ไม่มี SNI สิ่งนี้เป็นไปไม่ได้ แต่เราคาดหวังว่าตัวบ่งชี้ SNI เกี่ยวกับการรับส่งข้อมูลทั้งหมดของเรา ตอนนี้ฉันเป็นโปรแกรมเมอร์ไม่ใช่คนเครือข่าย แต่เมื่อมีคำขอเชื่อมต่อ SSL ใหม่เข้ามาเราเตอร์จะไม่สามารถตรวจสอบส่วนหัว SNI และกำหนดเส้นทางไปยังฟาร์มที่ถูกต้องได้ ฉันสมมติว่าการเชื่อมต่อ SSL ขาเข้าถูกระบุโดย {source IP: source port} ดังนั้นจึงไม่สามารถจดจำสิ่งนี้ได้สำหรับแพ็กเก็ตขาเข้าที่ตามมา (หาก SNI แสดงเฉพาะในแพ็กเก็ตแรก) เท่าที่ฉันสามารถบอกได้ Haproxy ทำเช่นนี้ แต่ดูเหมือนว่าตัวโหลดฮาร์ดแวร์ไม่ได้ทำ มีเหตุผลสำหรับสิ่งนี้หรือสิ่งที่เราควรผลักดันหรือไม่ (สำหรับผู้พิทักษ์คนสุดท้ายที่ใช้ IE บน XP ที่ไม่ได้รวม SNI เราต้องการส่งปริมาณข้อมูลไปยังฟาร์มเก่าและเราจัดการพร็อกซี่ไปยังฟาร์มใหม่เมื่อจำเป็น)

9 ssl  load-balancing  sni 

เรามี nginx ที่ทำงานบน Ubuntu Trusty ให้บริการเว็บไซต์หลายแห่งผ่าน https โดยใช้ที่อยู่ IP เดียว สุ่มแม้ว่าดูเหมือนว่าจะเกี่ยวข้องกับภาระงานเล็กน้อย แต่บางครั้งคำขอเดียวก็เปิดใช้งาน vhost ผิด สิ่งนี้นำไปสู่คำขอเกี่ยวกับlustrum.thalia.nuการให้บริการโดยthalia.nuและในทางกลับกัน จากนั้นจะให้หน้าข้อผิดพลาดที่น่ารังเกียจเมื่อผู้ใช้จู่ ๆ ก็มีเว็บไซต์อื่น เมื่อคุณกดF5ผู้ใช้จะจบลงที่เป้าหมายเดิมอีกครั้ง ดูเหมือนว่าจะไม่เกี่ยวข้องกับเบราว์เซอร์หรือระบบปฏิบัติการ ได้รับการยืนยันว่าจะเกิดขึ้นบน Firefox (Linux, Windows, Mac), Edge (Windows) และ Chrome (Linux, Windows, Android) และ Safari (iOS) ปัญหานี้เกิดขึ้นบ่อยครั้งมากขึ้นเมื่อระบบอยู่ภายใต้การโหลดซึ่งบ่งบอกถึงสภาพการแข่งขันบางประเภท lustrum.thalia.nu server { server_name lustrum.thalia.nu; listen 443 ssl; ssl on; ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt; ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key; …

9 nginx  ssl  virtualhost  php-fpm  tls 

เราไม่ใช่ผู้เชี่ยวชาญที่พยายามจนถึงการอัปเดตการตั้งค่าเว็บเซิร์ฟเวอร์ของเรา (JBoss-5.1.0.GA) เพื่อให้เป็นไปตามมาตรฐานของ Diffie-Hellman หลังจากทำการทดสอบบนhttps://weakdh.org/sysadmin.htmlเราได้รับแจ้งว่าเราต้อง "สร้างพารามิเตอร์ Diffie-Hellman ใหม่ 2048 บิต" ในอดีตเราได้สร้างคีย์ด้วย Java keytool แต่เราไม่สามารถหาข้อมูลใด ๆ ในการสร้างพารามิเตอร์ Diffie-Hellman ใหม่ 2048 บิตด้วย Java keytool ไม่มีใครรู้วิธีการทำเช่นนี้หรืออาจชี้เราไปในทิศทางที่ถูกต้อง? ขอบคุณ!

9 security  ssl  java  keys  keytool 

ฉันเพิ่งใช้ www.ssllabs.com และทำการทดสอบสองสามครั้ง - เซิร์ฟเวอร์ของฉันถูกต่อยอดเป็นเกรด B เพราะเซิร์ฟเวอร์ของฉันยอมรับ RC4 เซิร์ฟเวอร์นี้ยอมรับรหัส RC4 ซึ่งเป็นจุดอ่อน เกรดต่อยอดเป็น B ฉันได้วิจัยและพบว่าการปิดใช้งาน RC4 ฉันต้องเพิ่ม 3 ปุ่มและตั้งค่า dword ที่เปิดใช้งานเป็น 0 Link and Link ฉันได้กระทำนี้สำหรับRC4 40/128, RC 56/128และRC4 64/128 จากนั้นฉันรีสตาร์ทเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์เพิ่มขึ้นอีกครั้งฉันตรวจสอบว่าการเปลี่ยนแปลงรีจิสทรีเสร็จสิ้นแล้วและพวกเขาคือ - ทั้ง 3 มีอยู่และทั้ง 3 ตั้งค่าการเปิดใช้งานเป็น 0 ฉันกลับไปที่ ssllabs ล้างแคชเรียกใช้การทดสอบอีกครั้งและส่งคืนผลลัพธ์เดียวกัน (ปกคลุมถึง B เนื่องจาก RC4 เปิดใช้งานอยู่) ในขั้นตอนนี้ฉันไม่แน่ใจว่าสิ่งนี้หมายความว่าอย่างไรถ้า SSLLabs แสดงผลลัพธ์ที่ไม่ถูกต้อง (ฉันจะไม่สมมติ) …

9 windows-server-2008-r2  ssl  iis-7 

สำหรับเว็บไซต์ scirra.com ( คลิกเพื่อผลการทดสอบเซิร์ฟเวอร์ SSL Labs ) Google Chrome รายงานไอคอนต่อไปนี้: มันเป็น EV SSL และดูเหมือนว่าจะทำงานได้ดีใน Firefox และ Internet Explorer แต่ไม่ใช่ Chrome อะไรคือสาเหตุของสิ่งนี้?

9 ssl  chrome  ssl-certificate