คำถามติดแท็ก tls

ฉันใช้ CentOS 5.9 ฉันต้องการพิจารณาจาก linux shell หากเว็บเซิร์ฟเวอร์ระยะไกลสนับสนุน TLS 1.2 โดยเฉพาะ (เทียบกับ TLS 1.0) มีวิธีง่าย ๆ ในการตรวจสอบว่า? ฉันไม่เห็นตัวเลือกที่เกี่ยวข้องopensslแต่บางทีฉันอาจมองเห็นบางสิ่งบางอย่าง

102 linux  centos  openssl  tls 

เรามีเซิร์ฟเวอร์ Exchange 2007 ที่ทำงานบน Windows Server 2008 ลูกค้าของเราใช้เซิร์ฟเวอร์อีเมลของผู้ขายรายอื่น นโยบายความปลอดภัยของพวกเขาต้องการให้เราใช้ TLS ที่บังคับใช้ มันใช้งานได้ดีจนกระทั่งเมื่อไม่นานมานี้ ตอนนี้เมื่อ Exchange พยายามที่จะส่งจดหมายไปยังเซิร์ฟเวอร์ของลูกค้ามันจะบันทึกสิ่งต่อไปนี้: การเชื่อมต่อที่ปลอดภัยไปยังโดเมนที่ปลอดภัยของโดเมน 'ourclient.com' บนตัวเชื่อมต่อ 'จดหมายภายนอกที่เป็นค่าเริ่มต้น' ไม่สามารถสร้างได้เนื่องจากการตรวจสอบใบรับรอง Transport Layer Security (TLS) สำหรับ ourclient.com ล้มเหลวด้วยสถานะ 'UntrustedRoot ติดต่อผู้ดูแลระบบของ ourclient.com เพื่อแก้ไขปัญหาหรือลบโดเมนออกจากรายการโดเมนที่ปลอดภัย การลบ ourclient.com ออกจาก TLSSendDomainSecureList ทำให้ข้อความถูกส่งสำเร็จโดยใช้ TLS แบบฉวยโอกาส แต่นี่เป็นการแก้ปัญหาชั่วคราวที่ดีที่สุด ลูกค้าเป็น บริษัท ระหว่างประเทศที่มีขนาดใหญ่และมีความปลอดภัยสูง ฝ่ายไอทีของเรามีการอ้างว่าไม่ทราบว่ามีการเปลี่ยนแปลงใด ๆ ในใบรับรอง TLS ฉันขอให้เขาซ้ำ ๆ เพื่อระบุอำนาจที่สร้างใบรับรองเพื่อให้ฉันสามารถแก้ไขข้อผิดพลาดในการตรวจสอบ แต่จนถึงขณะนี้เขายังไม่สามารถให้คำตอบได้ …

63 windows-server-2008  security  exchange-2007  certificate  tls 

ประมวลผลบัตรเครดิตของเราเพิ่งแจ้งให้เราว่าเป็นของ 30 มิถุนายน 2016 เราจะต้องปิดการใช้งาน TLS 1.0 จะยังคงมาตรฐาน PCI ฉันพยายามเป็นเชิงรุกโดยการปิดการใช้งาน TLS 1.0 บนเครื่อง Windows Server 2008 R2 ของเราเท่านั้นที่จะพบว่าทันทีหลังจากรีบูตฉันไม่สามารถเชื่อมต่อกับมันผ่านทาง Remote Desktop Protocol (RDP) ได้อย่างสมบูรณ์ หลังจากการวิจัยบางอย่างปรากฏว่า RDP รองรับ TLS 1.0 เท่านั้น (ดูที่นี่หรือที่นี่ ) หรืออย่างน้อยก็ไม่ชัดเจนว่าจะเปิดใช้งาน RDP ผ่าน TLS 1.1 หรือ TLS 1.2 ได้อย่างไร ใครรู้วิธีปิดใช้งาน TLS 1.0 บน Windows Server 2008 R2 โดยไม่ทำลาย RDP …

48 windows-server-2008-r2  ssl  rdp  tls  pci-dss 

HTTPS ใช้ TCP หรือ UDP หรือไม่

40 ssl  https  tcp  udp  tls 

นี่คือการดำน้ำลึกทางเทคนิคหลังจากถามคำถามภาพรวมนี้ ความแตกต่างของโปรโตคอลระหว่าง SSL และ TLS คืออะไร? มีความแตกต่างมากพอที่จะรับประกันการเปลี่ยนชื่อหรือไม่? (แทนที่จะเรียกว่า "SSLv4" หรือ SSLv5 สำหรับ TLS เวอร์ชันใหม่กว่า)

40 security  ssl  tunneling  tls  protocol 

ฉันใช้เซิร์ฟเวอร์อีเมลซึ่งปัจจุบันตั้งค่าให้ใช้ TLS ถ้าเป็นไปได้เมื่อส่งและรับอีเมล เมื่อคุณอ่านในเอกสารเกี่ยวกับเรื่องนี้มีตัวเลือกในการบังคับใช้ TLS และไม่ยอมรับการส่งข้อความธรรมดาของอีเมล นอกจากนี้ยังเตือนคุณว่าเซิร์ฟเวอร์เมลบางตัวอาจไม่รองรับการเข้ารหัสและการบังคับใช้การเข้ารหัสอาจบล็อกเซิร์ฟเวอร์เหล่านี้ แต่นี่ยังคงเป็นปัญหาที่เราควรคำนึงถึงหรือปลอดภัยที่จะบอกว่าการบังคับใช้การเข้ารหัสจะไม่เป็นปัญหาอีกต่อไปหรือ อาจมีผู้ให้บริการรายใหญ่บางรายที่กำลังทำสิ่งนี้อยู่หรือคุณคิดว่าวิธีปฏิบัติที่ดีที่สุดในวันนี้คือ

36 encryption  tls  smtps 

ฉันรู้ว่า TLS นั้นเป็น SSL เวอร์ชันใหม่กว่าและโดยทั่วไปจะรองรับการเปลี่ยนการเชื่อมต่อจากที่ไม่ปลอดภัยไปเป็นแบบปลอดภัย (โดยทั่วไปผ่านคำสั่ง STARTTLS) สิ่งที่ฉันไม่เข้าใจคือสาเหตุที่ TLS มีความสำคัญต่อผู้เชี่ยวชาญด้านไอทีและทำไมจึงมีทางเลือกที่ฉันจะเลือกอย่างใดอย่างหนึ่ง TLS เป็นเพียงเวอร์ชันที่ใหม่กว่าจริง ๆ หรือไม่และถ้าเป็นเช่นนั้นมันเป็นโปรโตคอลที่เข้ากันได้หรือไม่ ในฐานะผู้เชี่ยวชาญด้านไอที: ฉันจะใช้เมื่อใด ฉันจะไม่ใช้อันไหนเมื่อไหร่?

31 security  ssl  tls 

ฉันได้ติดตั้ง ispconfig3 บนเดเบียนเซิร์ฟเวอร์หกตัวของฉันแล้วและนี่เป็น smtp ส่วนน้อย ssl: เซิร์ฟเวอร์คือ postfix AUTH PLAIN (LOL!) 235 2.7.0 Authentication successful MAIL FROM: lol@lol.com 250 2.1.0 Ok RCPT TO: lol@lol.com RENEGOTIATING depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify error:num=18:self signed certificate verify return:1 depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify return:1 DATA 554 5.5.1 …

28 debian  ssl  postfix  smtp  tls 

ฉันกำลังพยายามตั้งค่าผู้ส่งต่อ logstash แต่ฉันมีปัญหากับการสร้างช่องทางที่ปลอดภัย กำลังพยายามกำหนดค่าสิ่งนี้กับเครื่อง ubuntu สองเครื่อง (เซิร์ฟเวอร์ 14.04) ที่ทำงานใน virtualbox สะอาด 100% (ไม่ใช่ไฟล์โฮสต์ที่แตะต้องหรือติดตั้งแพ็คเกจอื่นนอกเหนือจาก java, ngix, elastisearch และอื่น ๆ ที่จำเป็นสำหรับ logstash) ฉันไม่เชื่อว่านี่เป็นปัญหา logstash แต่การจัดการใบรับรองที่ไม่เหมาะสมหรือสิ่งที่ไม่ได้ตั้งค่าอย่างถูกต้องทั้งใน logstash ubuntu หรือเครื่องส่งของ ฉันสร้างกุญแจ: sudo openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt อินพุตของฉัน conf บนเซิร์ฟเวอร์ logstash: input { lumberjack { port => 5000 …

28 ubuntu  ssl  ssl-certificate  tls  logstash 

เราต้องการสนับสนุนเว็บเบราว์เซอร์ที่ใช้ TLS 1.1 และ 1.2 ซึ่งมีการใช้งานโดย Microsoft แต่ถูกปิดใช้งานตามค่าเริ่มต้น ดังนั้นฉันจึงไปค้นหาบน Google และค้นพบบางหน้าทุกคนที่ดูเหมือนจะติดตาม http://support.microsoft.com/kb/245030 https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html แต่! ดูเหมือนจะใช้งานไม่ได้สำหรับฉัน ฉันได้ตั้งค่าทั้งสองค่า DWORD สำหรับ DisabledByDefault และ Enabled สำหรับ TLS 1.1 และ 1.2 ฉันสามารถยืนยันว่าลูกค้ากำลังพยายามสื่อสารกับ TLS 1.2 แต่เซิร์ฟเวอร์ตอบกลับด้วย 1.0 เท่านั้น ฉันรีสตาร์ท IIS แต่ไม่ได้เปลี่ยนสถานการณ์ Microsoft ชี้ให้เห็น: "คำเตือน: ค่า DisabledByDefault ในรีจิสตรีคีย์ภายใต้คีย์โพรโทคอลไม่ได้มาก่อนค่า grbitEnabledProtocols ที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับข้อมูลประจำตัว Schannel" นั่นเป็นสิ่งที่คลุมเครือสำหรับฉัน ฉันไม่พบที่ใดก็ตามที่ SCHANNEL_CRED กำหนดหรือตั้งค่าทั้งหมดที่ฉันสามารถระบุได้ว่ามันเป็นโครงสร้างที่กำหนดไว้ในไลบรารีของ …

26 windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 

ฉันเพิ่งเรียนมหาวิทยาลัยสองหลักสูตรเกี่ยวกับความปลอดภัยของคอมพิวเตอร์และการเขียนโปรแกรมอินเทอร์เน็ต ฉันกำลังคิดเกี่ยวกับเรื่องนี้เมื่อวันก่อน: เว็บแคชพร็อกซีเซิร์ฟเวอร์แคชเนื้อหายอดนิยมจากเซิร์ฟเวอร์บนเว็บ สิ่งนี้มีประโยชน์เช่นหาก บริษัท ของคุณมีการเชื่อมต่อเครือข่าย 1 Gbps ภายใน (รวมถึงเว็บแคชพร็อกซีเซิร์ฟเวอร์) แต่จะเชื่อมต่อกับอินเทอร์เน็ตได้เพียง 100 Mbps เว็บแคชพร็อกซีเซิร์ฟเวอร์สามารถให้บริการเนื้อหาที่แคชได้รวดเร็วยิ่งขึ้นไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในเครือข่ายท้องถิ่น พิจารณาการเชื่อมต่อที่เข้ารหัสด้วย TLS เนื้อหาที่เข้ารหัสสามารถแคชด้วยวิธีที่มีประโยชน์หรือไม่? มีความคิดริเริ่มที่ยอดเยี่ยมจาก letencrypt.org โดยมีเป้าหมายเพื่อให้ปริมาณการใช้งานอินเทอร์เน็ตทั้งหมดถูกเข้ารหัสผ่าน SSL โดยค่าเริ่มต้น พวกเขากำลังทำสิ่งนี้โดยทำให้เป็นเรื่องง่ายอัตโนมัติและฟรีเพื่อรับใบรับรอง SSL สำหรับไซต์ของคุณ (เริ่มต้นฤดูร้อนปี 2015) พิจารณาค่าใช้จ่ายรายปีในปัจจุบันสำหรับใบรับรอง SSL ฟรีน่าสนใจจริงๆ คำถามของฉันคือ: การรับส่งข้อมูล HTTPS ในที่สุดจะทำให้เว็บแคชพรอกซีเซิร์ฟเวอร์ล้าสมัยหรือไม่ ถ้าเป็นเช่นนั้นจะมีค่าใช้จ่ายเท่าใดในการโหลดปริมาณการใช้อินเทอร์เน็ตทั่วโลก?

25 proxy  https  cache  tls 

เป้าหมายของฉันคือการรับรองความปลอดภัยที่เหมาะสมสำหรับลูกค้าที่เชื่อมต่อกับ nginx ของฉัน ฉันปฏิบัติตามคำแนะนำของ Mozilla เพื่อกำหนดค่า TLS อย่างถูกต้องในการติดตั้ง nginx ของฉัน แต่ฉันไม่มีภาพรวมของโปรโตคอล / ciphersuites จริง ๆ ที่ใช้ในทางปฏิบัติ สิ่งที่ฉันมีตอนนี้: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } ด้วยสิ่งนี้ฉันต้องการบันทึกว่าใช้โปรโตคอล SSL ใดสำหรับการเชื่อมต่อและเลือก ciphersuite หลังจากไคลเอนต์ / เซิร์ฟเวอร์เจรจา เช่น: …

24 nginx  security  logging  tls  ssl 

ฉันมี NGINX ซึ่งทำหน้าที่เป็นพร็อกซีย้อนกลับสำหรับไซต์ของเราและทำงานได้ดีมาก สำหรับเว็บไซต์ที่ต้องการ ssl ฉันติดตามraymii.orgเพื่อให้แน่ใจว่าได้คะแนน SSLLabs ที่แข็งแกร่งที่สุดเท่าที่จะทำได้ หนึ่งในไซต์ต้องเป็นไปตามมาตรฐาน PCI DSS แต่จากการสแกน TrustWave ล่าสุดนั้นล้มเหลวเนื่องจาก TLS 1.0 เปิดใช้งานอยู่ ในระดับ http ใน nginx.conf ฉันมี: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; สำหรับเซิร์ฟเวอร์เฉพาะฉันมี: ssl_protocols TLSv1.1 TLSv1.2; ฉันเปลี่ยน ciphers ย้ายสิ่งต่าง ๆ ออกจากระดับ http และไปยังเซิร์ฟเวอร์ไซต์ ssl แต่ละตัว แต่ไม่ว่าจะเกิดอะไรขึ้นเมื่อฉันเรียกใช้: openssl s_client -connect www.example.com:443 -tls1 ฉันได้รับการเชื่อมต่อที่ถูกต้องสำหรับ TLS 1.0 SSLLabs ทำให้การตั้งค่า …

22 nginx  tls  pci-dss 

ปัจจุบัน OpenLDAP จะต้องมีการกำหนดค่าด้วย ldapmodify cn = การตั้งค่าตามที่อธิบายที่นี่ แต่ไม่มีที่ไหนฉันสามารถหาวิธีการที่คุณกำหนดค่าให้เพียงยอมรับการจราจร TLS ฉันเพิ่งยืนยันว่าเซิร์ฟเวอร์ของเรายอมรับการรับส่งข้อมูลที่ไม่ได้เข้ารหัส (ด้วย ldapsearch และ tcpdump) โดยปกติแล้วฉันจะปิดพอร์ตที่ไม่ใช่ SSL ด้วยตาราง IP แต่การใช้พอร์ต SSL นั้นถูกคัดค้านอย่างเห็นได้ชัดดังนั้นฉันจึงไม่มีตัวเลือกนั้น ดังนั้นด้วยคำสั่งการกำหนดค่า SSL เช่นนี้: dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem มีพารามิเตอร์ในการบังคับใช้ TLS หรือไม่ แก้ไข: ฉันลอง olcTLSCipherSuite แล้ว แต่มันไม่ทำงาน ดีบักเอาต์พุต: …

16 ldap  openldap  tls 

พื้นหลัง ฉันเห็นแล้วว่า Comodo มีรูตแบบโค้งรูปไข่ ("หน่วยงานออกใบรับรอง COMODO ECC") แต่ฉันไม่เห็นการกล่าวถึงใบรับรอง EC บนเว็บไซต์ของพวกเขา Certicom มีสิทธิ์ในทรัพย์สินทางปัญญาที่ป้องกันไม่ให้ผู้ออกรายอื่นเสนอใบรับรอง EC หรือไม่ เบราว์เซอร์ที่ใช้กันอย่างแพร่หลายล้มเหลวในการรองรับ ECC หรือไม่ ECC เหมาะสมหรือไม่สำหรับการใช้ PKI แบบดั้งเดิมเช่นการรับรองความถูกต้องของเว็บเซิร์ฟเวอร์ หรือมีเพียงไม่ต้องการมันได้หรือไม่ ฉันสนใจที่จะเปลี่ยนเป็นเส้นโค้งรูปไข่เนื่องจากคำแนะนำของ NSA Suite B แต่ดูเหมือนจะไม่เป็นประโยชน์สำหรับแอปพลิเคชันจำนวนมาก เกณฑ์การจ่ายเงินรางวัล ในการอ้างสิทธิ์รับรางวัลคำตอบจะต้องมีลิงก์ไปยังหน้าหรือหน้าเว็บในเว็บไซต์ของ CA ที่มีชื่อเสียงซึ่งอธิบายตัวเลือกใบรับรอง ECC ที่เสนอราคาและวิธีการซื้อ ในบริบทนี้ "ที่รู้จักกันดี" หมายความว่าใบรับรองรูทที่เหมาะสมจะต้องรวมอยู่ในค่าเริ่มต้นใน Firefox 3.5 และ IE 8 หากมีคำตอบที่เหมาะสมหลายประการ (หนึ่งสามารถหวังได้!) ใบรับรองที่ถูกที่สุดจาก CA ที่แพร่หลาย จะชนะรางวัล หากยังไม่ได้กำจัดความสัมพันธ์ใด ๆ (ยังหวัง!) …

16 ssl  ssl-certificate  certificate  tls