คำถามติดแท็ก ssl

นี่คือ nginx vhost ตัวย่อของฉัน conf: upstream gunicorn { server 127.0.0.1:8080 fail_timeout=0; } server { listen 80; listen 443 ssl; server_name domain.com ~^.+\.domain\.com$; location / { try_files $uri @proxy; } location @proxy { proxy_pass_header Server; proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme …

16 nginx  ssl  https 

ฉันรู้ว่านี่เป็นคำถามที่ซ้ำกันอย่างน้อยสองสามข้อ แต่ฉันได้อ่านมาแล้วหลายครั้งและฉันก็ยังทำอะไรผิดไป ต่อไปนี้เป็นเนื้อหาของแฟ้ม myexample.com Nginx /etc/nginx/sites-availableการตั้งค่าของฉันอยู่ใน server { listen 443 ssl; listen [::]:443 ssl; server_name myexample.com www.myexample.com; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ssl_certificate /etc/letsencrypt/live/myexample.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myexample.com/privkey.pem; #Configures the publicly served root directory #Configures the index file to be served root /var/www/myexample.com; index index.html index.htm; } ใช้งานได้เมื่อฉันไปที่https://myexample.comเนื้อหาจะแสดงและการเชื่อมต่อนั้นปลอดภัย ดังนั้นการกำหนดค่านี้ดูเหมือนจะดี ตอนนี้ถ้าฉันเปลี่ยนพอร์ต ssl เป็น 9443 …

16 nginx  ssl 

ปกติฉันจะไม่ใช้ Internet Explorer เลย ฉันใช้งานได้เฉพาะในเวลาออกแบบสำหรับการทดสอบส่วนต่อประสาน (เครื่องพัฒนาและด้วย http ที่ไม่ได้เข้ารหัส) ฉันทำการทดสอบเซิร์ฟเวอร์ SSL Labs ทุกสัปดาห์ซึ่งระบุว่า IE11 สามารถเข้าถึงเว็บไซต์ของฉันได้ วันนี้ฉันค้นพบปัญหากับหนึ่งในบริการของบุคคลที่สามของฉัน ฟังก์ชั่นพิเศษบางอย่างไม่ทำงานกับ Chrome หรือ Firefox ดังนั้นฉันจึงเปิดตัว IE11 บนเครื่อง Windows 7 ของฉัน และ IE11 แสดงให้ฉันเห็นหน้าข้อผิดพลาดในตัวแม่มดโดยทั่วไปบอกว่า "หน้าไม่สามารถแสดงได้" และ dummy bla bla ทั่วไปเช่นตรวจสอบ DNS และอื่น ๆ ไม่มีวี่แววของปัญหาการเข้ารหัสที่เกี่ยวข้องกับหน้าข้อผิดพลาดทั้งหมด (เช่นเบราว์เซอร์ปกติจะทำ) ย้อนกลับไปสองสามเดือนมีschannelปัญหานี้ซึ่งป้องกันไม่ให้ IES ที่เปิดใช้งาน TLS1.2 เข้าถึงไซต์ HTTPS จากจุดนั้นในเวลา "รายการตรวจสอบ WTF สำหรับ IE …

15 nginx  ssl  openssl  internet-explorer  tls 

ฉันจะลดช่องโหว่ POODLE SSL ได้อย่างไรเมื่อใช้ stunnel เป็น HTTPS reverse proxy

15 ssl  openssl  stunnel 

ฉันสามารถโฮสต์เว็บไซต์แบบไดนามิกผ่าน Amazon CloudFront เพราะพวกเขามีCNAME Wildcard สนับสนุน อย่างไรก็ตามบางหน้าในเว็บไซต์ของฉันใช้ HTTPS Amazon มีเอกสารบางอย่างเกี่ยวกับวิธีเชื่อมโยงใบรับรอง SSL ของคุณกับการแจกจ่าย CloudFront แต่การกำหนดราคาแสดงให้เห็นว่ามีค่าใช้จ่าย$ 600 ต่อเดือนมากเกินไปสำหรับฉัน คำถามของฉันคือ ... เป็นไปได้หรือไม่ที่จะกำหนดค่า CloudFront ดังนั้นการร้องขอ HTTP จะถูกส่งจาก CloudFront แต่การร้องขอ HTTPS จะถูกละเว้นโดย CloudFront และส่งโดยตรงไปยังต้นทาง (ในกรณีของฉันElastic Load Balancerซึ่งสามารถถอดรหัส SSL ได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม) ?

15 ssl  https  amazon-elb  amazon-cloudfront 

หลังจากสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองฉันได้กำหนดค่าเซิร์ฟเวอร์ MySQL ระยะไกลให้ใช้ (และเปิดใช้งาน SSL) ฉัน ssh ลงในเซิร์ฟเวอร์ระยะไกลของฉันและลองเชื่อมต่อกับ mysqld ของตัวเองโดยใช้ SSL (เซิร์ฟเวอร์ MySQL คือ 5.5.25) .. mysql -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter password: ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1) ตกลงฉันจำการอ่านมีปัญหาบางอย่างกับการเชื่อมต่อกับเซิร์ฟเวอร์เดียวกันผ่าน SSL ดังนั้นฉันจึงดาวน์โหลดคีย์ลูกค้าลงในกล่องท้องถิ่นของฉันและทดสอบจากที่นั่น ... mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter …

15 mysql  ssl  ssl-certificate  mysql5  mysql5.5 

ฉันใช้ฟังก์ชัน "ออกใบรับรองใหม่" ที่ผู้ให้บริการออกใบรับรอง SSL (RapidSSL, FWIW) เพื่อรับใบรับรองใหม่ - ในการทำเช่นนั้นฉันสร้างและใช้คีย์ส่วนตัวใหม่และวลีรหัสผ่าน การออกใบรับรองนี้ใหม่จะทำให้ใบรับรองที่ออกก่อนหน้านี้ไม่ถูกต้องหรือไม่ ถ้าเป็นเช่นนั้นใช้เวลานานเท่าไหร่?

15 ssl  certificate  revoked 

ฉันพยายามตั้งค่า ssh ผ่านการเชื่อมต่อ https โดยใช้ nginx ฉันไม่พบตัวอย่างการทำงานใด ๆ ดังนั้นความช่วยเหลือจะได้รับการชื่นชม! ~$ cat .ssh/config Host example.net Hostname example.net ProtocolKeepAlives 30 DynamicForward 8118 ProxyCommand /usr/bin/proxytunnel -p ssh.example.net:443 -d localhost:22 -E -v -H "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" ~$ ssh user@example.net Local proxy ssh.example.net resolves to 115.xxx.xxx.xxx Connected to ssh.example.net:443 (local proxy) Tunneling …

15 ssh  nginx  ssl  proxy  http-proxy 

ฉันมีเว็บเซิร์ฟเวอร์ส่วนตัวเล็ก ๆ ที่ฉันมี virtualhosts หลายแห่ง ฉันรู้ว่ามันเป็นไปไม่ได้ที่จะกำหนดใบรับรองให้กับแต่ละ virtualhost โฮสต์เพราะเซิร์ฟเวอร์ค้นหาว่า virtualhost ที่ถูกร้องขอเพียงหลังจากการเชื่อมต่อ SSL ได้รับการจัดตั้งขึ้น แต่เป็นไปได้หรือไม่ที่จะมีใบรับรอง SSL ฉบับเดียวซึ่งแสดงหลายโดเมน หรืออย่างน้อยที่สุดคือโดเมนไวด์การ์ดเช่น * .example.com ถ้าใช่คำสั่ง Linux ใดที่ฉันต้องเขียนเพื่อสร้างใบรับรองแบบลงนามด้วยตนเอง เพิ่ม:เพื่อชี้แจง - ฉันมีเพียงหนึ่งที่อยู่ IP สำหรับโฮสต์เสมือนทั้งหมด

15 apache-2.2  ssl  virtualhost  certificate 

เมื่อพยายามเรียกใช้คำสั่ง rpm ใด ๆ ฉันได้รับข้อผิดพลาดในการติดตาม ฉันไม่แน่ใจว่าทำไมฉันถึงได้รับข้อผิดพลาดของ curl แต่ฉันได้ลองใช้ตัวเลือกที่แตกต่างกันซึ่งล้มเหลว การเรียกใช้ CentOS7 และด้านหลังพรอกซี [root@CentOS7]# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm Retrieving https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public …

15 ssl  centos7  rpm  curl 

เรามีแอปพลิเคชั่น PHP ที่เชื่อมต่อกับเซิร์ฟเวอร์ MySQL และเราต้องการความปลอดภัยในการเชื่อมต่อระหว่างเว็บ & แอปพลิเคชันเซิร์ฟเวอร์และฐานข้อมูล ในช่วงเวลาเร่งด่วนเว็บเซิร์ฟเวอร์จะทำการเชื่อมต่อพร้อมกันหลายร้อยไปยังฐานข้อมูลและทำการอ่านและเขียนขนาดเล็กจำนวนมาก ฉันรู้ว่านี่ไม่เหมาะสมและกำลังพยายามลดจำนวนการเชื่อมต่อฐานข้อมูลควบคู่ไปกับสิ่งนี้ เราไม่มีการเชื่อมต่อกับฐานข้อมูลที่เปิดอยู่ในปัจจุบันและแม้ว่าเราจะตั้งใจในอนาคตฉันต้องการที่จะใช้สิ่งนี้อย่างเป็นอิสระ ฮาร์ดแวร์ฉลาด - เซิร์ฟเวอร์ MySQL ค่อนข้างหนา (16 คอร์) เหมือนกับเว็บเซิร์ฟเวอร์ พวกเขากำลังทุ่มเทเซิร์ฟเวอร์ คำถามของฉันจะล้อมรอบวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยและเข้ารหัสการเชื่อมต่อไปยังเซิร์ฟเวอร์ฐานข้อมูล งานวิจัยของฉันได้แนะนำว่าค่าใช้จ่ายหลักของประสิทธิภาพคือการตั้งค่าการเชื่อมต่อ SSL - เมื่อเชื่อมต่อ SSL แล้วจะมีโทษประสิทธิภาพเล็กน้อย และนี่คือสิ่งที่ฉันมีเกี่ยวกับการรักษาความปลอดภัยการเชื่อมต่อแต่ละวิธี: ใบรับรอง SSL SSL - ทำงานเหมือนกับ SSL ปกติ สามารถใช้ใบรับรองไคลเอ็นต์เพื่อป้องกันการเชื่อมต่อที่ไม่ได้รับอนุญาต ไม่มีการเชื่อมต่อถาวรกับการตั้งค่าที่มีอยู่ของเรา ยังคงต้องมี MySQL ฟังบนพอร์ตที่เปิดในไฟร์วอลล์ stunnel ตั้งค่าพอร์ตไปยังพอร์ต ssl tunnel ไม่ต้องกำหนดค่า MySQL ใหม่ สามารถปิดพอร์ตการฟัง MySQL ปกติเพื่อป้องกันการพยายามเชื่อมต่อ MySQL …

15 mysql  ssl  ssh-tunnel  stunnel 

ขณะนี้ฉันมี vhost ที่ทำงานบน Nginx สำหรับ foo.domain.com และทุกอย่างใช้งานได้ดี ฉันสร้างไฟล์ใหม่สำหรับโดเมนย่อยใหม่ฉันต้องการเพิ่มชื่อ bar.domain.com ฉันใช้การตั้งค่าเดียวกันสำหรับทั้งคู่ เมื่อฉันรีสตาร์ท Nginx ฉันจะได้รับ Restarting nginx: nginx: [warn] conflicting server name "" on 0.0.0.0:443, ignored nginx. เมื่อฉันไปที่ bar.domain.com ฉันเห็นสิ่งที่ฉันควรจะเห็น แต่เมื่อฉันไปที่ foo.domain.com ฉันเห็นหน้าเว็บที่ bar.domain.com เชื่อมโยงไปถึง ฟู upstream php-handler { server unix:/var/run/php5-fpm.sock; } server { listen 80; server_name foo.domain.com; return 301 https://$server_name$request_uri; } …

15 nginx  ssl  virtualhost 

ฉันแก้ไขเซิร์ฟเวอร์Postfix + Dovecotกับการโจมตี DROWN (ฉันปิดใช้งาน sslv2 และ sslv3) https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... หลังจากนั้นถ้าฉันเชื่อมต่อกับบรรทัดคำสั่งOpenSSL 's s_clientใช้-ssl2สวิทช์แล้วโปรโตคอลที่ไม่ได้รับการสนับสนุน ฉันสามารถใช้สิ่งนี้เป็นเครื่องตรวจจับที่ผิดพลาดได้หรือไม่?

14 security  ssl 

ขณะนี้เรากำลังใช้ใบรับรอง SSL มาตรฐานสำหรับโดเมนที่ชื่อว่า example.com ซึ่งโฮสต์บนเซิร์ฟเวอร์ 300 เครื่อง เมื่อมีคนร้องขอhttps://example.comเซิร์ฟเวอร์ตัวใดตัวหนึ่งทำหน้าที่ร้องขอ ตอนนี้เราต้องการอัพเกรดใบรับรอง SSL ของเราจากมาตรฐานเป็นโดเมนที่ปกป้องหลายโดเมนย่อย GoDaddy ผู้จดทะเบียนของเราแจ้งให้เราทราบว่าเราจะต้องยกเลิกใบรับรองปัจจุบันและจะออกใบรับรองใหม่แทน ตอนนี้เมื่อมีการออกใหม่ให้เราจะใช้เวลาประมาณ 10 วันสำหรับเราเพื่อแทนที่เก่ากว่าในเซิร์ฟเวอร์ 300 ในช่วง 10 วันนั้นหากผู้ใช้ของเราร้องขอhttps://example.comและเซิร์ฟเวอร์ที่ยังมีใบรับรองเก่ารองรับการร้องขอสิ่งที่จะปรากฏในเบราว์เซอร์ของผู้ใช้? ผู้ใช้จะเห็นข้อผิดพลาดใบรับรองไม่ถูกต้องหรือไม่ หมายเหตุ:เพียงแค่ใส่แบ็คแลชทั้งหมดที่เหลือเหตุผลที่ใช้เวลา 10 วันในการอัปเดตเซิร์ฟเวอร์มากกว่า 300 รายการนั้นเป็นเพราะเซิร์ฟเวอร์ของฉันถูกติดตั้งในรถเมล์ส่วนตัวรถไฟและเครื่องบิน อาจให้บริการหลายคำขอโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ตเป็นเวลาหลายวัน และด้วยเหตุนี้ตามอัตราการอัปเดตล่าสุดของเราจะใช้เวลาประมาณ 10 วันสำหรับฉันในการอัปเดตทั้งหมด

14 ssl  ssl-certificate 

SBS 2008 ใช้งาน Exchange 2007 และ IIS6.0 บริษัท มี บริษัท อื่นอีกสองแห่งที่ดำเนินงานภายใต้หลังคาเดียวกัน เพื่อรองรับอีเมลเรามีบัญชี Exchange 3 บัญชีต่อผู้ใช้หนึ่งรายเพื่อจัดการสิ่งนี้ ผู้ใช้ทั้งหมดใช้บัญชี CompanyA เพื่อลงชื่อเข้าใช้โดเมน CORP \ user user@companyA.com CORP \ user-companyb user@companyB.com <- ใช้สำหรับอีเมลเท่านั้น CORP \ user-companyc user@companyC.com <- ใช้สำหรับอีเมลเท่านั้น อีเมลทำงานได้ดีภายในและผ่าน OWA มีปัญหาเมื่อตั้งค่า Outlook สำหรับผู้ใช้ระยะไกลที่ต้องการเข้าถึง companyB และอีเมล companyC Outlook จะแสดงข้อผิดพลาดใบรับรอง SSL Cert SAN มีชื่อ DNS ต่อไปนี้: …

14 ssl  exchange  outlook  certificate