タグ付けされた質問 「https」

nginxを使用しており、SSLセッションの再開を実装したい。機能しているかどうかをどのようにテストすればよいですか？ これらの設定を有効にしました： ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;

11 nginx  ssl  https 

Wordpress 3.2.1を実行しているUbuntuサーバーを指すようにAWS ELBを設定しました。ロードバランサーの背後に配置するまで、サーバーではすべてがうまくいきました。 ポート80をポート80に、ポート443をポート80に転送するようにロードバランサーを設定しました。 elbのヘッダーを確認するように仮想ホストファイルを設定します。 RewriteEngine On RewriteCond％{HTTP：X-Forwarded-Proto}！https RewriteRule！/ status https：//％ {SERVER_NAME}％{REQUEST_URI} [L、R] これで、httpsのURLにアクセスするたびに次のメッセージが表示されます。 このWebページにはリダイレクトループがありますhttps://mywebsite.com/securepage/ のWebページによりリダイレクトが多すぎます wordpress httpsプラグイン （http://wordpress.org/extend/plugins/wordpress-https/）を無効にするとすぐに、 ページは機能しますが、今は混合コンテンツでいっぱいです。httpsであるべきページは、もはやhttpsではありません。 elb経由ではなく直接サーバーにアクセスするとすぐに再び機能します。 これをAWS ELBと連携させる方法についてのアイデアはありますか？

11 https  wordpress  amazon-web-services  amazon-elb 

CloudFlareはsslサポートを提供します。ただし、訪問者がCloudFlareによって保護されているWebサイトを訪問した場合、CloudFlareはこの訪問中に転送されたプレーンデータを知ることができますか？ いくつかのSSLオプションがあります。 柔軟なSSL 完全なSSL 完全SSL（厳格） フレキシブルSSLの場合、CloudFlareはプレーンデータをおそらく知っています。CloudFlareによってデータが復号化され、Webサーバーに安全に送信されないためです。 完全SSLおよび完全SSL（厳密）についてはどうですか？CloudFlareは最初に復号化し、次に暗号化してWebサーバーに送信しますか？

11 https  cloudflare 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 3年前休業。 さて、私はこれまでSSL / HTTPSの経験がありませんでした。標準のHTTPしか扱っていません。最近、SSLが必要なサイトで作業を開始しました。もちろん、私は外に出て、その方法を調査し、始めました。SSL証明書を正常にインストールする段階に到達しました-緑の南京錠が表示され、サーバーがポート443でHTTPSリクエストに応答します。 SSL、ただし、それらはポート80 / HTTPで正常に見えました（HTTPをHTTPSにリダイレクトするまで）。 簡単に言うと、HTTPSサイトに完全にアクセスできますが、ページは送信されず、リクエストごとに404が送信されます。 /etc/apache2/sites-available/[name].conf <VirtualHost *:80> ServerName [serverName] RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=302] </VirtualHost> <VirtualHost *:443> ServerName [serverName] ServerAdmin [email] DocumentRoot [docRoot] # I know the following SSL cert stuff is correct SSLEngine On SSLCertificateFile [...]/[domain].crt SSLCertificateKeyFile [...]/[certificate].key …

10 apache-2.4  configuration  https  http-status-code-404  raspbian 

まず、英語が下手でごめんなさい。私はまだそれを学んでいます。ここに行く： IPアドレスごとに1つのWebサイトをホストする場合、「純粋な」SSL（SNIなし）を使用でき、ユーザーが取得したいホスト名とパスをユーザーに通知する前にキー交換が発生します。鍵交換後、すべてのデータを安全に交換できます。とはいえ、誰かが偶然ネットワークを盗聴したとしても、機密情報は漏洩しません*（脚注を参照）。 一方、IPアドレスごとに複数のWebサイトをホストする場合は、おそらくSNIを使用するため、Webサイトの訪問者は、適切な証明書を提供する前に、ターゲットホスト名を通知する必要があります。この場合、自分のネットワークを盗聴した誰かが、自分がアクセスしているすべてのWebサイトドメインを追跡できます。 私の仮定に誤りはありますか？そうでない場合、ユーザーが暗号化されたDNSも使用していることを前提として、これはプライバシーの問題を表していませんか？ 脚注：スニファーがIPアドレスを逆引きして、どのWebサイトにアクセスしたかを確認できることも理解していますが、ネットワークケーブルを介してプレーンテキストで移動するホスト名は、検閲当局にとってキーワードベースのドメインブロッキングを容易にするようです。

10 ssl  https  privacy  sni 

クライアントには、www.site.comバージョンのドメイン専用のSSL証明書があり、site.comはありません。 通常のHTTPへのリダイレクトは、mod_rewriteを介した問題ではありませんでした。 ただし、HTTPSの場合、この方法は失敗するようでした。 https://site.comリクエストをhttps://www.site.comにリダイレクトします。 これは、ブラウザーで無効な証明書の警告を表示したり、ワイルドカード証明書を取得したりせずに実行できますか？

10 apache-2.2  ssl  mod-rewrite  https 

HTTPSトラフィックを処理するためにhaproxy 1.4の前にstunnelを配置したいと思います。X-Forwarded-Forヘッダーを追加するためのstunnelも必要です。これは 、haproxy Webサイトからの「stunnel-4.xx-xforwarded-for.diff」パッチによって達成できます。 ただし、説明では次のように述べています。 このパッチはキープアライブでは機能しないことに注意してください... 私の質問は、これは私にとって実際に何を意味するのでしょうか？わからない これがキープアライブの場合 クライアントとstunnel stunnelとhaproxy またはhaproxyとバックエンドサーバー？ これがパフォーマンスに与える影響：Webページに100個のアイコンがある場合、ブラウザーは100個の完全なSSL接続をネゴシエートする必要がありますか、それとも新しいTCP接続を作成するだけでSSL接続を再利用できますか？

10 ssl  https  tcp  haproxy  stunnel 

ログインを必要とするWebサイトのSSLを支払うように顧客を説得しようとしています。送信されているパスワードが誰かに見られる可能性がある主なシナリオを正しく理解したいと思います。 私の理解では、途中のどのホップでもパケットアナライザーを使用して何が送信されているかを表示できます。 これには、ハッカー（またはそのマルウェア/ボットネット）が、パケットが宛先に到達するために通過するホップのいずれかと同じサブネット上にある必要があるようです。そうですか？ このサブネット要件のいくつかのフレーバーが当てはまると仮定すると、すべてのホップまたは最初のホップのみについて心配する必要がありますか？誰もが傍聴している可能性があるため、パブリックWifiネットワーク上にあるかどうかを最初に心配することができます。 パケットがこの外部を通過するサブネットで何が起こっているのか心配する必要がありますか？ ネットワークトラフィックについてはわかりませんが、主要な通信事業者のデータセンターを通過していて、そこには多くのジューシーな攻撃ベクトルがないと思いますが、間違っている場合は修正してください。 パケットアナライザーで聞いている誰かの外で心配される他のベクトルはありますか？ 私はネットワーキングとセキュリティの初心者なので、このいずれかで間違った用語を使用している場合は、遠慮なく設定してください。

10 security  ssl  https  hacking  packet-sniffer 

次の図をご覧ください。 これはどのように機能しますか？ リモートがhttp：// myhost.com:8080/*を要求する場合、要求はループバックインターフェイスのポート8008で待機するhttpサーバーに転送される必要があります。これは簡単な部分です。 リモートユーザーがhttp：// myhost.com:8080/specialurlをリクエストすると... アプリケーションレベルのゲートウェイとして機能するプログラムは、暗号化されたセッションへの接続をアップグレードできる必要があります（ポートを変更せずに） リモートブラウザとの暗号化されたセッションを確立した後、ループバックインターフェイスのポート8000​​でリッスンするCプログラムに要求を転送する必要があります 私の質問は： このようなソリューションを運用環境に展開したことはありますか？あなたが持っている場合... アプリケーションゲートウェイとして機能するためにどの製品を使用しましたか？ 構成例を教えていただけますか？ 厳しい制限： 私は、ファイアウォールを介してコントロールを持っていない、と私は内部サーバに外部のトラフィックを得ることができ、それを通して唯一のポートは、ポート番号が無関係である8080で、事はファイアウォールレベルでのみ1ポートのオープンがあることである転送、着信内部サーバーへのトラフィック。 内部サーバーはLinuxを実行している必要があります（現在はDebian Lennyを実行しています） リモートユーザーは、このサーバーにアクセスするために、現在のWebブラウザーとインターネット接続しか必要ありません。つまり、SSHを介したリバースポートフォワーディングはここではオプションではありません。 本番環境でテストされ、簡単に展開できる製品が必要です。私は自分のアプリケーションゲートウェイを開発するつもりはありません（もしそうだった場合、サーバーフォールトではなく、スタックオーバーフローでこの質問をすることになるでしょう）。 ソフト制限： Apacheをアプリケーションゲートウェイとして使用しないようにしたい（それが唯一の可能な選択肢である場合は、そうするつもりですが） 可能であれば、アプリケーションゲートウェイは成熟したオープンソースソフトウェア製品である必要があります。 これまでにアプリケーションゲートウェイとして試した製品（成功なし） nginx lighttpd ポンド 関連RFC RFC2817（... HTTP / 1.1のアップグレードメカニズムを使用して、既存のTCP接続を介してトランスポート層セキュリティ（TLS）を開始する方法を説明します。これにより、セキュリティで保護されていないHTTPトラフィックが同じ既知のポートを共有できます ...） RFC2818（... は、TLSを使用してインターネット上のHTTP接続を保護する方法を説明しています。現在の慣行は、HTTP over SSL（TLSの前身）をレイヤー化して、別のサーバーポートを使用することにより、保護されたトラフィックを安全でないトラフィックから区別しています ... ）

10 linux  nginx  http  https  lighttpd 

次の421エラーが時々発生します。 誤ったリクエスト 要求されたホスト名がこの接続に使用されているサーバー名表示（SNI）と一致しないため、クライアントはこの要求に対して新しい接続を必要とします。 ただし、ブラウザを更新するとエラーがクリアされ、ページは正常に読み込まれます。次回ページをロードしてもエラーは発生せず、そのためパターンはかなりランダムに見えます。私が見ることができる唯一のパターンは、header（ "Location："。$ url）;を使用してページをリダイレクトしているときに発生する可能性があることです。 ComodoからのPositiveSSLマルチドメイン証明書を持っています。私のサーバーは共有WebホスティングサービスのApacheなので、設定にアクセスできません。 1つのドメインからページを読み込み、ページ内に証明書の2番目のドメインへのリンクがあります。 このエラーに関して私が読んだことはすべて、この問題がマルチドメイン証明書であることに関連しているこの問題を指摘しているようです。 私が知りたいのは、これを引き起こす可能性のあるもの（そして修正できるもの）のコーディング側にWebページ（php）の何かがあるかどうか、またはそれが構成エラーまたはおそらくサーバーエラーであり、私のホスティングサービスだけができることです修理する。 私のホスティングサービスはこれまで何も提供することができず、次に発生する正確な時間をコールバックして調査できるように要求しました。彼らがこれを理解できると私が確信しているわけではないので、どんな助けもありがたいです。 アップデート ほぼ2年後、それを処理する時がきたと判断しました。画像とJavaScriptを提供する静的ドメインを削除することで、ほとんどの問題を解決できました。しかし、私はこのコンテンツの一部にまだ2番目のドメインを使用しており、特にSafariはまだ問題を抱えていました。 私はより多くの研究を行い、それについてここで話す別の記事に出くわしました。@Kevinが正確に説明していること。記事はそれがSafariで起こることを確認しました。そこでアドバイスを受けて、ドメインごとに個別の証明書を取得することにしました。私は共有ホスト（Webhostinghub）を使用していて、自動更新される無料のSSL（AutoSSL）を提供していることを発見しました。本当であるように思えた。彼らは私に5つの無料の証明書を設定しました。ここまでは順調ですね。静的ドメインを再度有効にしてテストすることもできます。これがすべて機能する場合、ボーナスとして起動するために$を節約し、Comodo証明書を7月に期限切れにします。

10 ssl  apache-2.4  https 

www以外のリクエストをAmazon Route 53のwwwにリダイレクトしようとしています。 ネイキッドドメインの名前でS3バケットを作成し、バケットのプロパティを設定してexample.comからwww.example.comにリダイレクトし、ルート53で、そのS3バケットベースを指すネイキッドドメイン名のエイリアスを作成します以下について： www以外のリクエストをAmazon Route 53のwwwにリダイレクトする HTTPSを除いて、私にとってはうまくいきました。 現在、何らかの理由でhttps://example.comにアクセスできません。 任意の助けをいただければ幸いです。

10 https  amazon-route53 

SSL証明書を使用してWebサイトを運用していたが、SSL証明書の使用を中止した。問題は、Webサイトへのほとんどの外部リンクがhttps：//プレフィックスを使用していることです。 .htaccessファイルでhttps：//からhttp：//へのリダイレクトを試しました： RewriteEngine On RewriteCond %{HTTPS} on RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} しかし、他の場所で指摘されているように、サーバーはリダイレクトをアクティブにする前に証明書を取得しようとしているようです。したがって、リダイレクトが完了する前にエラーが表示されます。このエラーは、証明書の有効期限が切れているという警告、または証明書署名要求を削除した場合に、SSLが最大許容長を超えるレコードを受信したというエラーのいずれかです。 着信リンクが適切にリダイレクトされるようにする方法はありますか？

10 apache-2.2  web-server  .htaccess  http  https 

カールコールをしている curl -v ... https://... 詳細な出力には .... * ALPN, offering http/1.1 * SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256 * server certificate verification OK .... * ALPN, server did not agree to a protocol * Server auth using Basic with user 'api' > POST /v3/pindertek.com/messages HTTP/1.1 > Host: api.mailgun.net > Authorization: …

10 ssl  https  curl  http-basic-authentication  alpn 

インフラストラクチャの制限により、HTTPサービスを世界に提供するために提案されているソリューションの1つは、ポート8080および8443で提供することです。 私の懸念は、一部のユーザーは標準ポートで実行されていないためにこれらのサービスにアクセスできず、コンテンツが（たとえば）企業ネットワークポリシーの一部としてフィルターされる可能性があることです。 では、インターネット全体のユーザーがこれらのサービスにアクセスできない可能性はどのくらいありますか？

9 web-server  http  https  port 

これが私の問題の背景です： Herokuで動的IPアドレスを使用してWebサービスを実行しています。Herokuの静的IPはオプションではありません。 ファイアウォールの背後にある外部Webサービスに接続する必要があります。外部Webサービスを操作する人々は、特定の静的IPに対してのみファイアウォールを開きます。 私が試みた解決策は、静的IPを持つ別のサーバーでSquidを使用して、Herokuから外部サービスにリクエストを転送することです。このようにして、外部サービスは常に、Herokuサービスの動的IPではなく、プロキシサーバーの静的IPを認識します。 私のプロキシサーバーは認証のためにIPアドレスに依存することができないため（これは最初から問題です！）、ユーザー名とパスワードに依存する必要があります。さらに、ユーザー名とパスワードをクリアテキストで送信することはできません。攻撃者がそのクリアテキストを傍受した場合、攻撃者は私になりすましてプロキシに接続し、プロキシの静的IPを使用して送信要求を行い、外部を回避する可能性があるためです。 Webサービスのファイアウォール。 したがって、Squidプロキシは、HTTPではなくHTTPS経由の接続のみを受け入れる必要があります。（外部Webサービスへの接続は、HTTPまたはHTTPSの場合があります。） 私はCentOS 6.5.xでSquid 3.1.10を実行していますが、squid.confここまでです。トラブルシューティングのみを目的として、HTTPプロキシとHTTPSプロキシの両方を一時的に有効にしていますが、HTTPSのみを使用したいと思います。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where …

9 proxy  https  squid  heroku