タグ付けされた質問 「openssl」

これは、Heartbleedのセキュリティ問題の理解と修正に関する正規の質問です。 CVE-2014-0160別名「Heartbleed」とは何ですか？原因、OpenSSLのOSおよびバージョンの脆弱性、症状は何ですか？悪用の成功を検出する方法はありますか？ システムに影響があるかどうかを確認するにはどうすればよいですか？この脆弱性はどのように軽減できますか？私の鍵または他の個人データが危険にさらされていることを心配する必要がありますか？他にどのような副作用を心配する必要がありますか？

204 security  openssl  heartbleed 

wgetまたはその他のコマンドを使用して、たとえばhttps://www.google.comからSSL証明書をダウンロードしたい。UNIXコマンドラインはありますか？wgetまたはopenssl？

182 ssl  ssl-certificate  openssl  wget 

私はWindowsを使用していますが、.cerファイルが与えられています。詳細を表示するにはどうすればよいですか？

112 ssl-certificate  openssl  certificate 

CentOS 5.9を使用しています。 Linuxシェルから、リモートWebサーバーが（TLS 1.0ではなく）TLS 1.2を特にサポートしているかどうかを確認したいと思います。それを確認する簡単な方法はありますか？ 関連するオプションは表示されopensslませんが、おそらく何かを見落としています。

102 linux  centos  openssl  tls 

証明書バンドルの.crtファイルがあります。 実行openssl x509 -in bundle.crt -text -nooutすると、ルート証明書のみが表示されます。 他のすべての証明書を表示するにはどうすればよいですか？

102 ubuntu  security  ssl  ssl-certificate  openssl 

2004年に、Linux上のOpenSSLとOpenVPNで提供されるシンプルな管理スクリプトを使用して小さな認証機関を設定しました。当時見つけたガイドに従って、ルートCA証明書の有効期間を10年に設定しました。それ以来、OpenVPNトンネル、Webサイト、および電子メールサーバー用の多くの証明書に署名しました。これらすべての有効期間も10年です（これは間違っていた可能性がありますが、当時はわかりませんでした）。 CAのセットアップに関する多くのガイドを見つけましたが、その管理に関する情報はほとんどなく、特に、ルートCA証明書の有効期限が切れたときに何をする必要があるかについてはほとんど情報がありません。質問： ルートCA証明書の有効期限が切れた後に有効期間が延長された証明書は、ルートCA証明書の有効期限が切れるとすぐに無効になりますか、それとも有効であり続けますか（CA証明書の有効期間中に署名されたため）？ ルートCA証明書を更新し、その有効期限をスムーズに移行するには、どのような操作が必要ですか？ 何らかの方法で現在のルートCA証明書を別の有効期間で再署名し、新しく署名した証明書をクライアントにアップロードして、クライアント証明書が有効なままになるようにすることはできますか？ または、すべてのクライアント証明書を、新しいルートCA証明書によって署名された新しい証明書に置き換える必要がありますか？ ルートCA証明書はいつ更新する必要がありますか？有効期限が近づいていますか、それとも有効期限前の妥当な時間ですか？ ルートCA証明書の更新が主要な作業になった場合、次の更新（もちろん、有効期間を100年に設定するのではなく）でスムーズな移行を確実にするために、今より良い方法はありますか？ 一部のクライアントへの唯一のアクセスは、現在のCA証明書によって署名された証明書を使用するOpenVPNトンネルを介しているため、すべてのクライアント証明書を置換する必要がある場合、コピーする必要があるため、状況は少し複雑になります新しいファイルをクライアントに送信し、トンネルを再起動し、指を交差させて、後でファイルが表示されることを願っています。

96 openssl  certificate-authority 

私はGNU / Linuxおよび他のシステムでOpenSSLのバージョンをチェックする信頼性の高いポータブルな方法を探していたので、ユーザーはHeartbleedバグのためにSSLをアップグレードする必要があるかどうかを簡単に見つけることができます。 簡単だと思いましたが、すぐに最新のOpenSSL 1.0.1gを使用してUbuntu 12.04 LTSで問題に遭遇しました。 opensslバージョン-a 私はフルバージョンを見ることを期待していましたが、代わりにこれを手に入れました： OpenSSL 1.0.1 2012年3月14日 構築日：火6月4日07:26:06 UTC 2013 プラットフォーム：[...] 不愉快なことに、バージョンレターが表示されません。そこにfもgもありません。「1.0.1」だけです。リストされた日付は、（非）脆弱性バージョンの検出にも役立ちません。 1.0.1（af）と1.0.1gの違いは重要です。 質問： バージョンを確認するための信頼できる方法は何ですか？ そもそもバージョンレターが表示されないのはなぜですか？Ubuntu 12.04 LTS以外ではテストできませんでした。 他の人もこの動作を報告しています。いくつかの例： https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 いくつかの（ディストリビューション固有の）提案の展開： UbuntuおよびDebian：apt-cache policy opensslおよびapt-cache policy libssl1.0.0。バージョン番号をパッケージと比較してください：http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20：yum info openssl（Twitterの@znmebに感謝）およびyum info openssl-libs 古いバージョンのOpenSSLがまだ存在するかどうかの確認： 完全に信頼できるわけではありませんが、試してみてくださいlsof -n | grep ssl | grep DEL。Heartbleed：OpenSSLのバージョンを確実かつ移植可能にチェックする方法をご覧ください。なぜこれがうまくいかないかについて。 UbuntuおよびDebianでOpenSSLパッケージを更新するだけでは十分ではないことがわかりました。また、libssl1.0.0パッケージを更新し、-then-がopenssl …

88 linux  ubuntu  security  openssl  heartbleed 

RailsプロジェクトでApache2とPassengerを使用しています。テスト目的で自己署名SSL証明書を作成したいと思います。 sudo openssl rsa -des3 -in server.key -out server.key.new 上記のコマンドを入力すると、 writing RSA key Enter PEM pass phrase: パスフレーズを入力しないと、以下のエラーが表示されます unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: 3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382 を指定せずにRSAキーを生成することは可能pass phraseですか？/etc/init.d/httpdスクリプトが人間の介入なしにHTTPサーバーを開始する方法がわかりません）。

84 apache-2.2  https  openssl  passphrase 

LinuxのコマンドラインからOpenSSLを使用して、キー（パブリックまたはプライベート）を調べてキーサイズを決定する方法はありますか？

73 linux  encryption  openssl 

私は秘密鍵を作成しようとしていますが、問題があります。 を使用するssh-keygen -t rsa -b 4096 -C "your_email@example.com"と、次の形式の秘密鍵を取得します。 -----BEGIN OPENSSH PRIVATE KEY----- uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END OPENSSH PRIVATE KEY----- そして、これは私が使用しようとしているアプリケーションでは受け入れられません。 次のRSA形式のキーが必要です。 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,25737CC2C70BFABADB1B4598BD8AB9E9 uTo43HGophPo5awKC8hoOz4KseENpgHDLxe5UX+amx8YrWvZCvsYRh4/wnwxijYx ... -----END RSA PRIVATE KEY----- 正しい形式を作成するにはどうすればよいですか？私が持っている他のすべてのMacは、私が問題を抱えているものを除いて、正しい形式を作成するため、これは奇妙です。 新しくインストールしたMac OS Mojaveを使用しています

71 ssh  openssl  mac 

OpenSSLの「heartbleed」脆弱性（CVE-2014-0160）は、HTTPSを提供するWebサーバーに影響します。他のサービスもOpenSSLを使用します。これらのサービスは、ハートブリードのようなデータ漏洩に対しても脆弱ですか？ 私は特に考えています sshd 安全なSMTP、IMAPなど-dovecot、exim、postfix VPNサーバー-OpenVPNおよびフレンド 少なくとも私のシステムでは、これらはすべてOpenSSLライブラリにリンクされています。

65 security  openssl  heartbleed 

Ubuntuでは、証明書に署名するために使用される秘密鍵の最適な場所のようです（nginxで使用するため） /etc/ssl/private/ この答えは、証明書が入るべきであると付け加えています/etc/ssl/certs/が、それは安全でない場所のようです。ください.crtファイルを安全に保管する必要があるか、彼らは公共と考えていますか？

62 ssl  ssl-certificate  openssl 

Chrome 58以降、依存する自己署名証明書を受け入れなくなりましたCommon Name：https ://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary％7Csort： relevance％7Cspell：false 代わりにを使用する必要がありSubject Alt Nameます。：私は以前に自己署名証明書を生成する方法については、このガイド、次のされていますhttps://devcenter.heroku.com/articles/ssl-certificate-self私は必要なので、素晴らしい仕事をserver.crtし、server.key私がやっている何のためにファイルを。今では、SANChrome 58で動作しないすべての試みを含む新しい証明書を生成する必要があります。 これが私がやったことです： 上記のHerokuの記事の手順に従ってキーを生成しました。次に、新しいOpenSSL構成ファイルを作成しました。 [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany [ san ] subjectAltName = DNS:dev.mycompany.com 次にserver.crt、次のコマンドでを生成しました： …

52 ssl  ssl-certificate  openssl  chrome 

コンパイルするためにはnginxのをインストールする必要にopensslしてopenssl-dev（I'amは、以下のブックガイド）。 だから私はこれをやっています： sudo apt-get install openssl openssl-dev しかし、見つけることが不可能であることを伝えるエラーが表示されますopenssl-dev。また、いくつかのグーグルの後、それlibssl-devは等しいと思われます、それopenssl-devは本当ですか？（私のサーバーでapt-get見つかりましlibssl-devた） これが私のサーバーバージョンです：2.6.32-22-server どんな助けも歓迎します！

44 ubuntu  openssl 

私は大学の宿題に取り組んでいます。タスクは、nc（netcat）を使用してHTTPSでWebページを取得することです。 HTTP経由でページを取得するには、次のようにします。 cat request.txt | nc -w 5 <someserver> 80 request.txtにHTTP 1.1リクエストがあります GET / HTTP/1.1 Host: <someserver> さて...これは正常に動作します。HTTPSを使用するWebページを取得するにはどうすればよいですか？ このようなページ証明書を取得します。そして、これが私が立ち往生しているポイントです openssl s_client -connect <someserver>:443

41 http  https  openssl  netcat