คำถามติดแท็ก stunnel

ฉันจะลดช่องโหว่ POODLE SSL ได้อย่างไรเมื่อใช้ stunnel เป็น HTTPS reverse proxy

15 ssl  openssl  stunnel 

เรามีแอปพลิเคชั่น PHP ที่เชื่อมต่อกับเซิร์ฟเวอร์ MySQL และเราต้องการความปลอดภัยในการเชื่อมต่อระหว่างเว็บ & แอปพลิเคชันเซิร์ฟเวอร์และฐานข้อมูล ในช่วงเวลาเร่งด่วนเว็บเซิร์ฟเวอร์จะทำการเชื่อมต่อพร้อมกันหลายร้อยไปยังฐานข้อมูลและทำการอ่านและเขียนขนาดเล็กจำนวนมาก ฉันรู้ว่านี่ไม่เหมาะสมและกำลังพยายามลดจำนวนการเชื่อมต่อฐานข้อมูลควบคู่ไปกับสิ่งนี้ เราไม่มีการเชื่อมต่อกับฐานข้อมูลที่เปิดอยู่ในปัจจุบันและแม้ว่าเราจะตั้งใจในอนาคตฉันต้องการที่จะใช้สิ่งนี้อย่างเป็นอิสระ ฮาร์ดแวร์ฉลาด - เซิร์ฟเวอร์ MySQL ค่อนข้างหนา (16 คอร์) เหมือนกับเว็บเซิร์ฟเวอร์ พวกเขากำลังทุ่มเทเซิร์ฟเวอร์ คำถามของฉันจะล้อมรอบวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยและเข้ารหัสการเชื่อมต่อไปยังเซิร์ฟเวอร์ฐานข้อมูล งานวิจัยของฉันได้แนะนำว่าค่าใช้จ่ายหลักของประสิทธิภาพคือการตั้งค่าการเชื่อมต่อ SSL - เมื่อเชื่อมต่อ SSL แล้วจะมีโทษประสิทธิภาพเล็กน้อย และนี่คือสิ่งที่ฉันมีเกี่ยวกับการรักษาความปลอดภัยการเชื่อมต่อแต่ละวิธี: ใบรับรอง SSL SSL - ทำงานเหมือนกับ SSL ปกติ สามารถใช้ใบรับรองไคลเอ็นต์เพื่อป้องกันการเชื่อมต่อที่ไม่ได้รับอนุญาต ไม่มีการเชื่อมต่อถาวรกับการตั้งค่าที่มีอยู่ของเรา ยังคงต้องมี MySQL ฟังบนพอร์ตที่เปิดในไฟร์วอลล์ stunnel ตั้งค่าพอร์ตไปยังพอร์ต ssl tunnel ไม่ต้องกำหนดค่า MySQL ใหม่ สามารถปิดพอร์ตการฟัง MySQL ปกติเพื่อป้องกันการพยายามเชื่อมต่อ MySQL …

15 mysql  ssl  ssh-tunnel  stunnel 

คอมพิวเตอร์สองสามเครื่อง แต่ไม่มากที่สุดกำลังปฏิเสธใบรับรอง SSL จากเว็บเซิร์ฟเวอร์ของฉัน ปัญหาดูเหมือนว่าคอมพิวเตอร์บางเครื่องปฏิเสธ CA certs ดูเหมือนว่าปัญหาจะปรากฏใน Mac OS X 10.6 เมื่อไม่ได้รับการอัพเดตอย่างสมบูรณ์ ตามที่http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com - ไม่มีปัญหา อ้างอิงจากhttp://certlogik.com/sslchecker/ไม่มีการส่งใบรับรองกลาง หนังสือรับรองของฉันมาจาก Starfield Technologies และฉันใช้sf_bundle.crtจากที่นี่: certs.godaddy.com/anonymous/repository.seam ฉันจัดการ SSL บนเซิร์ฟเวอร์ของฉันผ่าน stunnel ด้วยสิ่งต่อไปนี้stunnel.conf: cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 ความคิดใดที่ฉันสามารถทำผิดได้?

13 ssl  ssl-certificate  stunnel 

ฉันกำลังพยายามทำให้ปริมาณการรับส่งข้อมูลขาออกและขาเข้าของฉันถูกต้องตามกฎหมายใกล้กับปริมาณการใช้งาน SSL มากที่สุด มีวิธีในการ DPI ของฉันเองเพื่อให้แน่ใจว่าดูเหมือนว่าปริมาณการใช้งาน SSL และไม่ใช่ปริมาณการใช้ OpenVPN หรือไม่? ทราฟฟิกใช้พอร์ต 443 ซึ่งเป็นพอร์ต SSL และตามการตั้งค่ากำหนดของฉัน การกำหนดค่าของฉันเป็นดังนี้: STUNNEL บนแล็ปท็อป: [openvpn] # Set sTunnel to be in client mode (defaults to server) client = yes # Port to locally connect to accept = 127.0.0.1:1194 # Remote server for sTunnel to connect to …

13 linux  vpn  openvpn  stunnel 

ฉันต้องการวาง stunnel ไว้ด้านหน้า haproxy 1.4 เพื่อจัดการปริมาณการใช้ HTTPS ฉันยังต้องการ stunnel เพื่อเพิ่มส่วนหัวX-Forwarded-For สามารถทำได้โดยแพทช์ "stunnel-4.xx-xforwarded-for.diff" จากเว็บไซต์ haproxy อย่างไรก็ตามคำอธิบายดังกล่าว: โปรดทราบว่าแพทช์นี้ไม่สามารถทำงานได้กับ ... คำถามของฉันคืออะไรในทางปฏิบัติสิ่งนี้สำหรับฉัน ฉันไม่แน่ใจ หากนี่เป็นเรื่องที่รักษาไว้ระหว่างกัน ลูกค้าและ stunnel stunnel และ haproxy หรือเซิร์ฟเวอร์ haproxy และแบ็กเอนด์? สิ่งนี้มีความหมายอย่างไรต่อประสิทธิภาพการทำงาน: ถ้าฉันมี 100 ไอคอนบนหน้าเว็บเบราว์เซอร์จะต้องต่อรอง 100 การเชื่อมต่อ SSL เต็มรูปแบบหรือสามารถใช้การเชื่อมต่อ SSL อีกครั้งเพียงแค่สร้างการเชื่อมต่อ TCP ใหม่

10 ssl  https  tcp  haproxy  stunnel 

ฉันตั้งค่าstunnelเซิร์ฟเวอร์ใน Windows XP และฉันได้รับข้อผิดพลาดนี้เมื่อลูกค้าพยายามเข้าถึง: 2013.02.14 00:02:16 LOG7[8848:7664]: Service [https] accepted (FD=320) from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:7664]: Creating a new thread 2013.02.14 00:02:16 LOG7[8848:7664]: New thread created 2013.02.14 00:02:16 LOG7[8848:9792]: Service [https] started 2013.02.14 00:02:16 LOG5[8848:9792]: Service [https] accepted connection from 107.20.36.147:56160 2013.02.14 00:02:16 LOG7[8848:9792]: SSL state (accept): before/accept initialization 2013.02.14 …

9 windows  ssl  https  stunnel 

คำเตือน: SSLv3 เป็นล้าสมัย พิจารณาปิดการใช้งานทั้งหมด ฉันกำลังพยายามตั้งค่า Stunnel ไปยังเซิร์ฟเวอร์เป็นแคช SSL ทุกอย่างราบรื่นและส่วนใหญ่ทำงานตามที่ออกแบบไว้ จากนั้นฉันก็พบข้อผิดพลาดในไฟล์บันทึก: SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number ไม่ใช่ลูกค้าทุกคนเรียกสิ่งนั้นด้วยเหตุผลแปลก ๆ การเชื่อมต่อจาก CentOS โดยใช้ลิงก์ - ข้อผิดพลาดปรากฏขึ้น (ลองหลายเครื่อง) การเชื่อมต่อจาก Ubuntu โดยใช้ลิงก์ - ไม่มีข้อผิดพลาด ลองใช้ wget และทุกอย่างราบรื่นด้วย TLSv1 แต่ข้อผิดพลาดแสดงขึ้นด้วย SSLv3 ในเวลาเดียวกันรายงาน wget: OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure ไม่สามารถสร้างการเชื่อมต่อ SSL นี่คือการกำหนดค่าของฉัน: pid = /etc/stunnel/stunnel.pid debug …

9 ssl  ssl-certificate  openssl  stunnel 

ฉันตั้งค่า stunnel บน OSX เพื่อลดปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ Django dev ของฉันเพราะ Facebook ต้องการ HTTPS ทุกวันนี้ แต่ฉันสังเกตเห็นว่ามันช้าอย่างไร้เหตุผล ดูเหมือนว่าจะสามารถจัดการการเชื่อมต่อครั้งเดียวเท่านั้นและแม้การเชื่อมต่อจะช้าเมื่อฉันเชื่อมต่อกับ localhost ฉันได้ลองใช้เคล็ดลับเกี่ยวกับประสิทธิภาพที่พบทางออนไลน์แล้วดังนั้นการกำหนดค่าของฉันจึงเป็น: pid= # foreground=yes cert=./cacert.pem key=./privkey.pem libwrap=no debug=0 socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 [https] accept=8443 connect=8000 มีวิธีรับประสิทธิภาพมากขึ้นหรือเหมาะสมกว่าในการตั้งค่า HTTPS สำหรับเซิร์ฟเวอร์ dev ของฉันหรือไม่

1 https  stunnel