คำถามติดแท็ก ssl

บน Ubuntu ดูเหมือนว่าจะเป็นสถานที่ที่ดีที่สุดสำหรับไพรเวตคีย์ที่ใช้ในการลงนามใบรับรอง (สำหรับใช้โดย nginx) /etc/ssl/private/ คำตอบนี้เสริมว่าใบรับรองควรเข้าไป/etc/ssl/certs/แต่ดูเหมือนจะเป็นสถานที่ที่ไม่ปลอดภัย ทำ.crtไฟล์จะต้องมีการเก็บไว้ที่ปลอดภัยหรือว่าพวกเขาถือว่าสาธารณะ?

62 ssl  ssl-certificate  openssl 

ฉันมีการกำหนดค่าต่อไปนี้: SSLEngine on SSLCertificateFile /etc/httpd/conf/login.domain.com.crt SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP แต่ฉันไม่รู้วิธีสร้าง.crtและ.keyไฟล์

59 ssl  java  ssl-certificate  virtualhost 

ฉันต้องการพร็อกซีคำขอจากไซต์ SSL ผ่านไซต์ที่ไม่ใช่ SSL Apache httpd.conf ของฉันมีลักษณะเช่นนี้: <VirtualHost 1.2.3.4:80> ServerName foo.com ProxyPass / https://bar.com/ </VirtualHost> ดังนั้นเมื่อฉันเยี่ยมชมhttp://foo.comฉันคาดหวังว่า apache จะส่งคำขอไปที่https://bar.comและส่งหน้าที่ได้รับมา แต่ฉันได้รับข้อผิดพลาด 500 และในบันทึกข้อผิดพลาดฉันเห็น: [error] proxy: HTTPS: failed to enable ssl support for 4.3.2.1:443 (bar.com) สันนิษฐานว่าฉันไม่มีคำสั่งที่นี่ มันจะเป็นแบบไหน? ไม่ต้องกังวลเรื่องความปลอดภัย ฉันเข้าใจความเสี่ยงอย่างเต็มที่

59 apache-2.2  ssl  proxy  proxypass 

ฉันมีปัญหาในการทำความเข้าใจว่าทำไมเราต้องซื้อใบรับรอง SSL เมื่อเราสามารถสร้างพวกเขาในพื้นที่โดยใช้ openSSL อะไรคือความแตกต่างระหว่างใบรับรองที่ฉันซื้อและใบรับรองทดสอบที่ฉันสร้างขึ้นภายในเครื่อง มันเป็นเพียงการหลอกลวงครั้งใหญ่หรือไม่?

57 ssl  ssl-certificate  https 

ฉันต้องการสร้างกฎใน nginx ที่ทำสองสิ่ง: ลบ "www." จาก URI คำขอ เปลี่ยนเส้นทางไปที่ "https" หาก URI คำขอคือ "http" มีตัวอย่างมากมายเกี่ยวกับวิธีการทำสิ่งเหล่านั้นทีละอย่าง แต่ฉันไม่สามารถหาวิธีแก้ปัญหาที่ทำได้อย่างถูกต้อง (เช่นไม่สร้างลูปการเปลี่ยนเส้นทางและจัดการทุกกรณีอย่างเหมาะสม) จำเป็นต้องจัดการกับกรณีเหล่านี้ทั้งหมด: 1. http://www.example.com/path 2. https://www.example.com/path 3. http://example.com/path 4. https://example.com/path สิ่งเหล่านี้ควรจบที่https://example.com/path (# 4) โดยไม่ต้องวนซ้ำ ความคิดใด ๆ

57 nginx  ssl  https  rewrite 

เมื่อเร็ว ๆ นี้มีการเผยแพร่ช่องโหว่ใหม่ใน Diffie-Hellman อย่างไม่เป็นทางการซึ่งเรียกว่า 'logjam' ซึ่งมีการรวบรวมหน้านี้เพื่อแนะนำวิธีการแก้ไขช่องโหว่: เรามีคำแนะนำสามข้อสำหรับการปรับใช้ Diffie-Hellman สำหรับ TLS อย่างถูกต้อง: ปิดใช้งานการส่งออกชุดรหัส แม้ว่าเบราว์เซอร์รุ่นใหม่จะไม่สนับสนุนชุดการส่งออกอีกต่อไป แต่การโจมตี FREAK และ Logjam ทำให้ผู้โจมตีในระดับกลางสามารถหลอกเบราว์เซอร์ให้ใช้การเข้ารหัสระดับการส่งออกหลังจากนั้นการเชื่อมต่อ TLS สามารถถอดรหัสได้ เลขศูนย์ส่งออกเป็นส่วนที่เหลือของนโยบายยุค 90 ที่ป้องกันไม่ให้โปรโตคอลการเข้ารหัสลับที่แข็งแกร่งจากการถูกส่งออกจากประเทศสหรัฐอเมริกา ไม่มีลูกค้าสมัยใหม่ที่ใช้ชุดส่งออกและมีข้อเสียเล็กน้อยในการปิดใช้งาน จัดวาง (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE) การแลกเปลี่ยนคีย์แบบ Elliptic-Curve Diffie-Hellman (ECDH) หลีกเลี่ยงการโจมตีแบบ cryptanalytic ที่เป็นไปได้ทั้งหมดและเว็บเบราว์เซอร์สมัยใหม่ต้องการ ECDHE มากกว่าแบบดั้งเดิมขอบเขต จำกัด Diffie-Hellman อัลกอริธึมการบันทึกที่ไม่ต่อเนื่องที่เราใช้ในการโจมตีกลุ่ม Diffie-Hellman มาตรฐานไม่ได้รับประโยชน์อย่างมากจากการ precomputation และแต่ละเซิร์ฟเวอร์ไม่จำเป็นต้องสร้างเส้นโค้งรูปไข่ที่ไม่ซ้ำกัน สร้างแรง, ไม่ซ้ำ Diffie Hellman …

56 apache-2.2  ssl  apache-2.4  httpd  vulnerability 

จำเป็นต้องสร้าง CSR (คำขอลงนามใบรับรอง) บนเครื่องเดียวกับที่จะโฮสต์เว็บแอปพลิเคชันและใบรับรอง SSL ของฉันหรือไม่ หน้านี้ใน SSL Shopperกล่าวเช่นนั้น แต่ฉันไม่แน่ใจว่าเป็นเรื่องจริงหรือไม่เพราะนั่นหมายความว่าฉันต้องซื้อใบรับรอง SSL แยกต่างหากสำหรับแต่ละเซิร์ฟเวอร์ในคลัสเตอร์ของฉัน CSR คืออะไร คำร้องขอ CSR หรือการลงนามใบรับรองเป็นบล็อกของข้อความเข้ารหัสที่สร้างขึ้นบนเซิร์ฟเวอร์ที่จะใช้ใบรับรอง

54 ssl  ssl-certificate  csr 

ฉันจะแก้ไขCVE-2014-3566บนระบบ Windows Server 2012 ที่ใช้ IIS ได้อย่างไร มีโปรแกรมแก้ไขใน Windows Update หรือไม่ฉันต้องเปลี่ยนรีจิสทรีเพื่อปิดใช้งาน SSL 3.0หรือไม่

53 windows  iis  ssl 

ดังนั้นการเปิดตัว Windows Server 2012 จึงมีการลบยูทิลิตีการกำหนดค่าเดสก์ท็อประยะไกลที่เกี่ยวข้องจำนวนมากออกไป โดยเฉพาะอย่างยิ่งไม่มียูทิลิตี้การกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกลระยะไกลอีกต่อไปที่ให้คุณเข้าถึงกล่องโต้ตอบคุณสมบัติ RDP-Tcp ที่ให้คุณกำหนดค่าใบรับรองที่กำหนดเองสำหรับ RDSH ที่จะใช้ ในที่นี้เป็น GUI ที่รวมใหม่ที่ดีซึ่งเป็นส่วนหนึ่งของเวิร์กโฟลว์ "แก้ไขคุณสมบัติการปรับใช้" โดยรวมใน Server Manager ใหม่ สิ่งที่จับได้คือคุณจะสามารถเข้าถึงเวิร์กโฟลว์นั้นได้เฉพาะเมื่อคุณติดตั้งบทบาท Remote Desktop Services (เท่าที่ฉันสามารถบอกได้) ดูเหมือนว่าการกำกับดูแลในส่วนของ Microsoft เราจะกำหนดค่าใบรับรอง SSL ที่กำหนดเองสำหรับ RDP บน Windows Server 2012 ได้อย่างไรเมื่อทำงานในโหมดการดูแลระยะไกลเริ่มต้นโดยไม่จำเป็นต้องติดตั้งบทบาทบริการเดสก์ท็อประยะไกลโดยไม่จำเป็น

52 ssl  rdp  remote-desktop-services  windows-server-2012 

ตั้งแต่ Chrome 58 จะไม่ยอมรับ certs ที่ลงชื่อด้วยตนเองซึ่งพึ่งพาCommon Name: https://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary% 7Csort อีกต่อไป: ความสัมพันธ์กัน% 7Cspell: เท็จ Subject Alt Nameแต่มันต้องใช้ ก่อนหน้านี้ฉันได้ปฏิบัติตามคำแนะนำเกี่ยวกับวิธีสร้างใบรับรองที่ลงชื่อด้วยตนเอง: https://devcenter.heroku.com/articles/ssl-certificate-selfซึ่งใช้งานได้ดีมากเพราะฉันต้องการserver.crtและserver.keyไฟล์สำหรับสิ่งที่ฉันทำ ตอนนี้ฉันต้องสร้าง certs ใหม่ที่รวมถึงSANความพยายามทั้งหมดของฉันที่ทำไม่ได้กับ Chrome 58 นี่คือสิ่งที่ฉันทำ: ฉันทำตามขั้นตอนในบทความ Heroku ที่กล่าวถึงข้างต้นเพื่อสร้างรหัส ฉันเขียนไฟล์กำหนดค่า OpenSSL ใหม่: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] …

52 ssl  ssl-certificate  openssl  chrome 

ฉันมีcert.pemและcert.keyไฟล์ใน/etc/apache2/sslโฟลเดอร์ สิ่งที่จะได้รับอนุญาตที่ปลอดภัยที่สุดและเป็นเจ้าของ: /etc/apache2/ssl ไดเรกทอรี /etc/apache2/ssl/cert.pem ไฟล์ /etc/apache2/ssl/cert.key ไฟล์ (มั่นใจว่าhttps://เข้าถึงงานแน่นอน :) ขอบคุณ JP

50 apache-2.2  security  permissions  ssl  file-permissions 

ในที่สุดเว็บไซต์ของฉันได้ตัดสินใจเปิดใช้งาน TLS ไปยังเซิร์ฟเวอร์ของพวกเขาบ่อยครั้งเพียงเพื่อไม่ให้เป็นเว็บไซต์จำนวนมาก ผู้ดูแลอ้างว่า TLS ต้องเป็นทางเลือก ทำไม? ในเว็บไซต์ของฉันเองฉันได้ตั้งค่า TLS และ HSTS ที่ได้รับคำสั่งไว้เป็นระยะเวลานานและชุดรหัสตัวเลขที่อ่อนกว่านั้นถูกปิดใช้งาน การเข้าถึงแบบธรรมดารับประกันว่าจะได้รับการกำแพงด้วย HTTP 301 กับรุ่นที่ป้องกัน TLS สิ่งนี้มีผลต่อเว็บไซต์ของฉันในทางลบหรือไม่?

49 ssl  hsts 

ประมวลผลบัตรเครดิตของเราเพิ่งแจ้งให้เราว่าเป็นของ 30 มิถุนายน 2016 เราจะต้องปิดการใช้งาน TLS 1.0 จะยังคงมาตรฐาน PCI ฉันพยายามเป็นเชิงรุกโดยการปิดการใช้งาน TLS 1.0 บนเครื่อง Windows Server 2008 R2 ของเราเท่านั้นที่จะพบว่าทันทีหลังจากรีบูตฉันไม่สามารถเชื่อมต่อกับมันผ่านทาง Remote Desktop Protocol (RDP) ได้อย่างสมบูรณ์ หลังจากการวิจัยบางอย่างปรากฏว่า RDP รองรับ TLS 1.0 เท่านั้น (ดูที่นี่หรือที่นี่ ) หรืออย่างน้อยก็ไม่ชัดเจนว่าจะเปิดใช้งาน RDP ผ่าน TLS 1.1 หรือ TLS 1.2 ได้อย่างไร ใครรู้วิธีปิดใช้งาน TLS 1.0 บน Windows Server 2008 R2 โดยไม่ทำลาย RDP …

48 windows-server-2008-r2  ssl  rdp  tls  pci-dss 

ในธันเดอร์เบิร์ด (และฉันถือว่าอยู่ในไคลเอนต์อื่น ๆ ด้วย) ฉันมีตัวเลือกให้เลือกระหว่าง "SSL / TLS" และ "STARTTLS" เท่าที่ผมเข้าใจมัน "STARTTLS" หมายถึงในคำง่ายๆ"เข้ารหัสถ้าปลายทั้งสองสนับสนุน TLS อย่างอื่นไม่เข้ารหัสโอน" และ "SSL / TLS" หมายถึงในคำง่ายๆ"เสมอเข้ารหัสหรือไม่ได้เชื่อมต่อที่ทุกคน" ถูกต้องหรือไม่ หรือในคำอื่น ๆ : STARTTLS ปลอดภัยน้อยกว่า SSL / TLS หรือไม่เพราะสามารถย้อนกลับมาเป็นข้อความธรรมดาโดยไม่แจ้งให้ฉันทราบ

45 ssl  encryption  starttls 

ฉันสร้างเซิร์ฟเวอร์ WebSocket ws.mysite.exampleซึ่งจะอาศัยอยู่บน ฉันต้องการให้เว็บซ็อกเก็ตเซิร์ฟเวอร์เข้ารหัสdomain.exampleSSL และเข้ารหัส SSL ฉันจำเป็นต้องซื้อใบรับรองใหม่สำหรับแต่ละโดเมนย่อยที่ฉันสร้างหรือไม่ ฉันต้องมีที่อยู่ IP เฉพาะสำหรับแต่ละโดเมนย่อยที่ฉันสร้างหรือไม่ ฉันจะมีโดเมนย่อยมากกว่าหนึ่งโดเมน ฉันใช้ NGINX และ Gunicorn ที่ทำงานบน Ubuntu

41 ssl  ssl-certificate  subdomain