タグ付けされた質問 「ssl」

ホスティングプロバイダーは、古いドメインのSSL証明書を誤って失効させた後、最近ドメインのSSL証明書を再発行して再インストールしました。 これで、HTTPSを介してWebサイトを再度閲覧できるようになりました。ホストも同様に、他の多くのユーザーも同様です。 ただし、一部のユーザー（少なくとも数百人のうち数十人）がYour connection is not secure、さまざまなブラウザやプラットフォームでエラーメッセージを受け取っています。（再現できない問題を診断するのは難しいことが証明されています。） ブラウザごとに認証局（CA）のリストが異なることを理解しています。 私と同じバージョン（OS Xの45.0.1）のFirefoxを実行しているユーザーが、SEC_ERROR_UNKNOWN_ISSUER（私のサイトのみで）エラーを受け取っているのに、どうしてですか？何がそれを可能にしますか？ユーザーはキャッシュをクリアし、ラップトップを再起動しました。 私は走ったdigicert.com上のSSLチェックを。結果は次のとおりです。 SSL証明書は信頼されていません 証明書は、信頼できる機関によって署名されていません（Mozillaのルートストアと照合）。信頼できる機関から証明書を購入した場合は、おそらく1つ以上の中間証明書をインストールする必要があります。サーバープラットフォームでこれを行うには、証明書プロバイダーに問い合わせてください。 この場合、SSLエラーなしでサイトに接続できるのはなぜですか？

11 ssl  ssl-certificate 

問題： iOS 9がATSを使用するようになったため、モバイルアプリはWebサービスへの安全な接続を確立できなくなりました。 背景： iOS 9にはApp Transport Securityが導入されています サーバーのセットアップ： Windows Server 2008 R2 SP1（VM）IIS 7.5、digicertからのSSL証明書。Windowsファイアウォールがオフ。 キーRSA 2048ビット（e 65537） 発行者DigiCert SHA2セキュアサーバーCA 署名アルゴリズムSHA512withRSA App Transport Securityの要件は次のとおりです。 サーバーは、少なくともTransport Layer Security（TLS）プロトコルバージョン1.2をサポートする必要があります。接続暗号は、前方秘匿性を提供するものに限定されます（以下の暗号のリストを参照してください）。証明書は、2048ビット以上のRSAキーまたは256ビット以上のElliptic-Curveで、SHA256以上の署名ハッシュアルゴリズムを使用して署名する必要があります（ECC）キー。証明書が無効な場合、ハード障害が発生し、接続できなくなります。これらは受け入れられた暗号です： TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 試行されたもの： ドメインが機能するようにモバイルアプリに例外を追加しますが、このセキュリティで保護されていない方法を使用したくないので、SSLを修正します。 使用IIS暗号を「ベストプラクティス」を使用するには、「PCI」を試してみました、およびカスタムセットアップ。暗号スイートを上記のリストだけに変更して、並べ替えを試みました。各試行の後、サーバーが再起動され、SSL Labsが実行されました（キャッシュをクリアした後）。私はFからA、さらにはA-に移行することに成功しましたが、これはiOS 8と9が安全な接続を確立できないという結果に終わりました。（NSURLErrorDomain Code = -1200および_kCFStreamErrorCodeKey = -9806） VMを復元し、PowerShellスクリプトを試しましたSSL Perfect …

11 ssl  iis-7.5  tls  ios  safari 

Apacheサーバーの背後でJenkins（ポート8080）とSonarQube（ポート9000）の2つのサービスを実行しています。 私のApache設定は次のようになります： <VirtualHost *:80> ServerName server Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:80> ServerName server.domain.com Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:443> ServerName server.domain.com SSLEngine on SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key ProxyPass /jenkins http://localhost:8080/jenkins nocanon ProxyPassReverse /jenkins http://localhost:8080/jenkins ProxyPassReverse /jenkins http://server.domain.com/jenkins ProxyPassReverse /jenkins https://server.domain.com/jenkins ProxyPass /sonar http://localhost:9000/sonar nocanon ProxyPassReverse /sonar http://localhost:9000/sonar …

11 apache-2.2  ssl  ssl-certificate  apache-2.4  jenkins 

WebサーバーにHTTPリクエストを送信するときに、SSL証明書を拒否するブラウザーの数を調べたいと思います。現在、ほとんどの最新ブラウザで認識されているように見える無料のCAを使用していますが、ブラウザとオペレーティングシステムの組み合わせを徹底的にテストすることなく、いくつかの数値を取得したいと思います。 証明書の検証が失敗するとブラウザが接続を終了することを理解していますが、Apacheがこれを検出する方法はありますか？特定の診断情報を取得する予定はありません-証明書/ SSLの問題があったという事実だけで十分です。

11 apache-2.2  security  ssl  ssl-certificate 

Windows 2008 R2サーバーのCSRを生成し、CSRに使用される秘密キーが新しいことを確認する必要があります。 以前にOpenSSLを使用してテスト用の自己署名証明書を作成しましたが、正しく覚えていれば、使用する秘密キーを指定できました。 IISサーバー証明書では、秘密キーを生成または選択することはありません。 それでは、WindowsベースのサーバーでCSRを生成すると、常に新しい秘密鍵が作成されますか？そうでない場合、新しい秘密鍵が作成/使用されることをどのように確認しますか？

11 windows-server-2008-r2  ssl  iis-7.5  private-key  csr 

UbuntuサーバーにSSL証明書をインストールしようとしています。CAから証明書を購入し、証明書自体と中間証明書をダウンロードしました。そのように： 私の証明書： mydomain.crt 中間証明書： GandiStandardSSLCA.pem 私も持っています（opensslを使用して作られました） 私の秘密鍵（？）： mydomain.key および署名要求： mydomain.csr これらすべてのファイルをサーバーにアップロードし、ガイドに従って証明書を中間体と結合しました。 cat mydomain.crt GandiStandardSSLCA.pem > mydomain-bundle.crt 次に、vhostの構成に次を追加します。 listen 443 ssl; ssl_certificate /etc/nginx/ssl/mydomain-bundle.crt; ssl_certificate_key /etc/nginx/ssl/mydomain.key; しかし、nginxを再起動すると、次のエラーが表示されます。 * nginxの再起動 * nginxの停止nginx [OK] nginx：[emerg] SSL_CTX_use_PrivateKey_file（ "/ etc / nginx / ssl / mydomain.key"）失敗（SSL：エラー：0B080074：x509証明書ルーチン：X509_check_private_key：key値の不一致）nginx：設定ファイル/etc/nginx/nginx.confテストが失敗しました 解決の理由と方法はありますか？

11 nginx  ssl 

以下のためのApacheのmod_sslのドキュメントSSLCertificateFileとSSLCertificateKeyFile同じファイル内の秘密鍵とSSL証明書を保存するために「強く推奨」されていることを指令状態。 秘密鍵ファイルは安全に保管する必要がありますが、その場合、同じファイルに証明書を保存する際に特定のリスクはありますか？この振る舞いがサポートされている理由を知りたいのですが、説明なく強くお勧めします。

11 apache-2.2  ssl  web-server  mod-ssl 

問題がある場合、管理者にメールを送信するスクリプトが必要であり、会社はGmailのみを使用しています。いくつかの投稿の指示に従って、.mailrcファイルを使用してmailxをセットアップできました。最初にnss-config-dirのエラーがありましたが、Firefoxディレクトリからいくつかの.dbファイルをコピーすることで解決しました。./certsに移動し、mailrcでそれを目指します。メールが送信されました。 ただし、上記のエラーが発生しました。ある奇跡によって、.dbにGoogle証明書がありました。次のコマンドで表示されました。 ~]$ certutil -L -d certs Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI GeoTrust SSL CA ,, VeriSign Class 3 Secure Server CA - G3 ,, Microsoft Internet Authority ,, VeriSign Class 3 Extended Validation SSL CA ,, Akamai Subordinate CA 3 ,, MSIT Machine Auth CA 2 ,, Google Internet …

11 ssl  bash  gmail 

OpenSSLを構成してopenssl req -new、新しい証明書署名要求を生成するために実行するときに、CSRに含める代替サブジェクト名の入力を求められるようにします。 私の[req_attributes]セクションにこの行を追加しましたopenssl.cnf： subjectAltName = Alternative subject names これには、CSRを生成するときにSANを要求するという望ましい効果があります。 $ openssl req -new -out test.csr -key ./test.key <<< You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or …

11 ssl  ssl-certificate  openssl  certificate 

単一のSAN証明書（サブジェクトの別名）に多くの名前が追加されると、パフォーマンスが低下し始めると聞きました。 SAN証明書がどのように処理されるかを誰かが説明できるので、SANの名前が増えるにつれてパフォーマンスコストの原因を理解できますか？

11 ssl  ssl-certificate  certificate 

RHEL4でApache 2.0を実行しているWebサーバーがあります。このサーバーは最近PCIスキャンに失敗しました。 理由：SSLv3.0 / TLSv1.0プロトコルの脆弱なCBCモードの脆弱性の解決策：この攻撃は、2004年およびそれ以降のTLSプロトコルの修正版で修正されています。可能であれば、TLSv1.1またはTLSv1.2にアップグレードします。TLSv1.1またはTLSv1.2にアップグレードできない場合、CBCモード暗号を無効にすると、脆弱性が削除されます。Apacheで次のSSL構成を使用すると、この脆弱性が緩和されます。SSLCipherSuite RC4-SHA：HIGH：！ADHのSSLHonorCipherOrder 簡単な修正、私は思った。Apache構成に行を追加しましたが、機能しませんでした。どうやら 「SSLHonorCipherOrder On」はApache 2.2以降でのみ動作します。私はApacheをアップグレードしようとしましたが、すぐに依存関係に陥りました。Apache2.2にアップグレードするにはOS全体をアップグレードする必要があるようです。数か月以内にこのサーバーを廃止するため、その価値はありません。 ソリューションは、「TLSv1.1またはTLSv1.2へのアップグレードが不可能な場合、CBCモード暗号を無効にすると脆弱性が削除されます」と述べています。 Apache 2.0でこれを行うにはどうすればよいですか？これも可能ですか？そうでない場合、他の回避策はありますか？

11 apache-2.2  ssl  tls 

WebアプリケーションですべてのURLをhttpsにリダイレクトしようとしています。 エラスティックロードバランサーの背後にec2インスタンスがあります。SSLはロードバランサーで終了します。 リダイレクトを試みると、なじみのある「このページは決して完了しない方法で要求しています」という結果になります。 ロードバランサーは、443と80をインスタンスのポート80に転送します。 これが私の.htaccessにあるものです。 RewriteCond %{X-FORWARDED-PROTO} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 誰もこれを達成する方法を知っていますか？どうもありがとう、

11 ssl  .htaccess  amazon-web-services  amazon-elb 

HTTPS経由でのみアクセスできるWebアプリケーションがあります。 ポート80を完全に閉じることは可能ですか？ ブラウザーが暗号化されていない方法でポート80をヒットできないという事実以外に、ポート80を閉じることに欠点はありますか？ 検索エンジンの可視性は優先事項ではありません。

11 apache-2.2  ssl  https 

IIS 7.5では、2つのWebサイトでこれを達成しようとしています。 Default Web Site is bound to: (blank host header port 80 - http) (blank host header port 443 - https) go.example.com www71.example.com the IP address of go.example.com 2nd web site "Beta" is bound to: beta.example.com (blank host header port 443 - https) * using blank only because it …

11 iis  ssl  configuration  hostname  bindings 

ドメインとサブドメインを持つローカルホストでWebアプリケーションを開発していますが、HTTPS接続を使用したいと思います。Mac OSでSSLを有効にするには、Apacheを正しく設定する必要があります。そのため、いくつかのガイドに従ってその一部を達成しました。 次に、HTTPS要求をテストするために証明書を選択します。cacert.pemを見ましたが、それをどのように使用するのか、どのように使用されるのかわかりません（その使用法について説明してもらえますか？）... だから、それを使用することが可能であるcacert.pem（リンクを参照）のために、すべての（と、多分私のドメインおよびサブドメインのワイルドカード証明書をローカルホスト上で）？ もしそうなら、それを行う方法は？どの証明書を取得して使用する必要がありますか？ いいえの場合、私が使用するためには何をする必要があるか、ワイルドカード証明書のために、すべてのローカルホスト上の私のドメインやサブドメインを？ もちろん、これらの証明書はブラウザで受け入れられ、ドメイン間のHTTPS接続で機能する必要があります。

11 apache-2.2  ssl  domain  ssl-certificate  localhost