タグ付けされた質問 「ssl」

私はSSL証明書に「必須」属性を設定したいので、すべてのサービスがOCSPステープリングをサポートしているかどうかを調べるために調査を行っていました。これまでのところ、SSLLabs.comを使用して確認できるApacheが実行していることがわかりました。 しかし、それとは別に、他の2つのサービス（SMTPとIMAP）もOCSPステープリングをサポートしているかどうかは確認できませんでした。今私の質問は、PostfixとDovecotもそれをサポートしていますか？ PS：メールトランスポートに関しては、証明書は重要ではないようですが、属性を追加すると、クライアントがそのために作業を拒否する可能性がある場合、問題が発生するのを避けたいと思います。それから利益を得る。

10 ssl  postfix  dovecot  ocsp 

LetsEncrypt証明書を30日ごとに更新するようにcronjobをセットアップするときに、公開キーピンをセットアップできますか？ 証明書が更新されると、公開キーピンも更新されますか？

10 ssl  ssl-certificate  tls  http-headers  public-key 

私のサイトhttps://www.snipsalonsoftware.com/のSSL証明書は、Androidでは機能しません。この問題のトラブルシューティングでは、自分のサイトをQualys SSL Labsテストツールに接続しました。 https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.1​​81.104 このレポートは私に「チェーンの問題」があることを教えてくれているようです。何かが「不完全」です。しかし、私は不完全なものを正確に理解するのに苦労しています。 次のセクションの「Certification Paths」の下に、「Extra download」というオレンジ色のテキストが表示されます（オレンジは「ちょっと悪い」という意味だと思います）。これが何を意味するのか、どのように修正するのか私にはわかりません。私はこのスレッドを見つけましたが、彼らが言っていることを私の解決策に変換する方法がわかりません。 私は何をすべきか？

10 ssl 

別の質問でどういうわけか出てきた質問がありますが、まだ解決策を見つけることができません。 私の問題は、SSLを使用してdebian上のApache 2.4でサイトをホストし、Windows XPでInternet Explorer 7をホストしていることです Internet Explorer cannot display the webpage sslを使用する仮想ホストは1つしかありませんが、httpを使用する仮想ホストは異なります。SSLが有効になっているサイトの構成は次のとおりです（etc / sites-avaible / default-sslはリンクされていません） <Virtualhost xx.yyy.86.193:443> ServerName www.my-certified-domain.de ServerAlias my-certified-domain.de DocumentRoot "/var/local/www/my-certified-domain.de/current/www" Alias /files "/var/local/www/my-certified-domain.de/current/files" CustomLog /var/log/apache2/access.my-certified-domain.de.log combined <Directory "/var/local/www/my-certified-domain.de/current/www"> AllowOverride All </Directory> SSLEngine on SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca BrowserMatch "MSIE [2-8]" nokeepalive …

10 apache-2.2  ssl  internet-explorer 

状況：キャプティブポータルを介してインターネットにアクセスしようとしているホテルのゲスト。問題：すべてのホームページをHTTPSにリダイレクトするサイトがGoogle、Yahoo、そしてますます増えているため、ログオンページにリダイレクトするとゲストに証明書エラーが発生します。SSLの正しい目的はこれを正確に行うことですが、ファイアウォール経由のアクセスを有効にする前に、ゲストのログオン確認プロセスを管理してIDを確認する別の方法があるかどうか疑問に思います。理解できないゲストをおびえさせます。基本的に、キャプティブポータル/認証プロセスには別のアーキテクチャが必要であり、誰がどんな考えを持っているのか疑問に思います。ありがとう。

10 ssl  redirect 

今のところ、私はまだnginxでSNIを使用していません。しかし、IPアドレスプールがかなりいっぱいになり、商用XPのサポートが（ついに）終了するので、いくつかのサイトをSNIに変換することを考えています。 SNIに伴う一般的な制限と落とし穴（XPの問題、非常に古いブラウザー）を知っています。しかし、それ以外に注意すべきことはありますか？ Like-SNI使用時のnginx関連の落とし穴-最近の（注目に値する！）ブラウザーでの問題/バグ

10 nginx  ssl  sni 

mod_sslを使用するときにApache 2.2.xでSSL / TLS圧縮を無効にする方法はありますか？ そうでない場合、古いブラウザでのCRIME / BEASTの影響を軽減するために人々は何をしていますか？ 関連リンク： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

まず、英語が下手でごめんなさい。私はまだそれを学んでいます。ここに行く： IPアドレスごとに1つのWebサイトをホストする場合、「純粋な」SSL（SNIなし）を使用でき、ユーザーが取得したいホスト名とパスをユーザーに通知する前にキー交換が発生します。鍵交換後、すべてのデータを安全に交換できます。とはいえ、誰かが偶然ネットワークを盗聴したとしても、機密情報は漏洩しません*（脚注を参照）。 一方、IPアドレスごとに複数のWebサイトをホストする場合は、おそらくSNIを使用するため、Webサイトの訪問者は、適切な証明書を提供する前に、ターゲットホスト名を通知する必要があります。この場合、自分のネットワークを盗聴した誰かが、自分がアクセスしているすべてのWebサイトドメインを追跡できます。 私の仮定に誤りはありますか？そうでない場合、ユーザーが暗号化されたDNSも使用していることを前提として、これはプライバシーの問題を表していませんか？ 脚注：スニファーがIPアドレスを逆引きして、どのWebサイトにアクセスしたかを確認できることも理解していますが、ネットワークケーブルを介してプレーンテキストで移動するホスト名は、検閲当局にとってキーワードベースのドメインブロッキングを容易にするようです。

10 ssl  https  privacy  sni 

職場では、プレーンなhttpまたは自己署名証明書（ロードバランサー管理インターフェイス、内部wiki、サボテンなど）を使用する多数のWebインターフェイスがあります。 特定のVLAN /ネットワークの外部から到達できるものはありません。 自宅で使用する場合は、cacert SSL証明書を使用します。 私は雇用主に自己署名証明書とプレーンhttpの代わりにcacert SSL証明書を使用するように勧めるべきかどうか疑問に思っていました。誰でも本番環境でcacert sslを使用していますか？賛否両論は何ですか？セキュリティは向上しますか？管理は簡単ですか？予期しないことはありますか？品質スキャンに影響はありますか？どうすればそれらを納得させることができますか？ もちろん、公開ウェブサイトの有料証明書は変更されません。 編集： （好奇心旺盛）企業からの無料のssl証明書はクラス3ではないようです。パスポートを提示し、物理的に立ち会ってcacertsからクラス3を取得する必要がありました。各クラス1のブラウザーに警告はありませんか？ とにかく、私は無料のCAについて同じ質問をします。自己署名されたプレーンなhttpを使用するよりも良いですか、そしてなぜですか？ 管理を容易にするために、サーバー側で行います。見逃したことはありますか？ 免責事項：私はCacert Associationのメンバーではなく、Assurerでもなく、通常のハッピーユーザーです。

10 security  ssl 

クライアントには、www.site.comバージョンのドメイン専用のSSL証明書があり、site.comはありません。 通常のHTTPへのリダイレクトは、mod_rewriteを介した問題ではありませんでした。 ただし、HTTPSの場合、この方法は失敗するようでした。 https://site.comリクエストをhttps://www.site.comにリダイレクトします。 これは、ブラウザーで無効な証明書の警告を表示したり、ワイルドカード証明書を取得したりせずに実行できますか？

10 apache-2.2  ssl  mod-rewrite  https 

私は毎週最大5つのSSL CSRを処理し、CAに渡してアクションを実行する前にそれらの有効性をチェックする特権があります。UbuntuマシンでOpenSSLを使用してそれらが有効であることを確認し、正しいOU名、適切なCN、2048ビット以上のキーサイズなどをテストします。 先日、IIS7マシンから更新リクエストを受け取りました。OpenSSLを使用してこれを読み取る方法がまったくわかりません。私のCAがそれを受け入れたので、それは有効です... 'file（1）'は「RFC1421セキュリティ証明書署名要求テキスト」であると言います。これは、私がここに持っているCSRの〜50％について言っているものです（残りは「PEM証明書要求」です）。 $ head iis7rcsr -----BEGIN NEW CERTIFICATE REQUEST----- MIIQsQYJKoZIhvcNAQcCoIIQojCCEJ4CAQExCzAJBgUrDgMCGgUAMIIJegYJKoZI hvcNAQcBoIIJawSCCWcwggljMIIIzAIBADCB2zELMAkGA1UEBhMCTloxDTALBgNV BBEMBDkwNTQxDjAMBgNVBAgMBU90YWdvMRAwDgYDVQQHDAdEdW5lZGluMRwwGgYD ... ... openssl req、CSR（PKCS＃10）を読み取ると、CSRを理解できません... $ openssl req -in iis7rcsr -text unable to load X509 request 5156:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1316: 5156:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:380:Type=X509_REQ_INFO 5156:error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error:tasn_dec.c:748:Field=req_info, Type=X509_REQ 5156:error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib:pem_oth.c:83: MSDNブログのAndreas Kleinによるこの記事は、IIS7更新CSRがPKCS＃7コンテナーであり、CSRと現在の証明書に基づく署名が付いていることを示していますが、それでもまだ読み取ることができません。 $ …

10 iis-7  ssl  certificate  openssl 

HTTPSトラフィックを処理するためにhaproxy 1.4の前にstunnelを配置したいと思います。X-Forwarded-Forヘッダーを追加するためのstunnelも必要です。これは 、haproxy Webサイトからの「stunnel-4.xx-xforwarded-for.diff」パッチによって達成できます。 ただし、説明では次のように述べています。 このパッチはキープアライブでは機能しないことに注意してください... 私の質問は、これは私にとって実際に何を意味するのでしょうか？わからない これがキープアライブの場合 クライアントとstunnel stunnelとhaproxy またはhaproxyとバックエンドサーバー？ これがパフォーマンスに与える影響：Webページに100個のアイコンがある場合、ブラウザーは100個の完全なSSL接続をネゴシエートする必要がありますか、それとも新しいTCP接続を作成するだけでSSL接続を再利用できますか？

10 ssl  https  tcp  haproxy  stunnel 

安全なウェブサイトのnagiosチェックを作成したい。チェックに必要なのは、スクリプトに渡したログインの詳細でサイトにログインすることだけです。 これを可能にするプラグインまたはスクリプトを知っている人はいますか？ を使ってみcheck_httpましたが、エラーページにリダイレクトされてもうまくいきます。

10 ssl  nagios  website  http-status-code 

ログインを必要とするWebサイトのSSLを支払うように顧客を説得しようとしています。送信されているパスワードが誰かに見られる可能性がある主なシナリオを正しく理解したいと思います。 私の理解では、途中のどのホップでもパケットアナライザーを使用して何が送信されているかを表示できます。 これには、ハッカー（またはそのマルウェア/ボットネット）が、パケットが宛先に到達するために通過するホップのいずれかと同じサブネット上にある必要があるようです。そうですか？ このサブネット要件のいくつかのフレーバーが当てはまると仮定すると、すべてのホップまたは最初のホップのみについて心配する必要がありますか？誰もが傍聴している可能性があるため、パブリックWifiネットワーク上にあるかどうかを最初に心配することができます。 パケットがこの外部を通過するサブネットで何が起こっているのか心配する必要がありますか？ ネットワークトラフィックについてはわかりませんが、主要な通信事業者のデータセンターを通過していて、そこには多くのジューシーな攻撃ベクトルがないと思いますが、間違っている場合は修正してください。 パケットアナライザーで聞いている誰かの外で心配される他のベクトルはありますか？ 私はネットワーキングとセキュリティの初心者なので、このいずれかで間違った用語を使用している場合は、遠慮なく設定してください。

10 security  ssl  https  hacking  packet-sniffer 

私はapache-ubuntu-phpウェブサーバーをセットアップしようとしています。私のWebサーバーは複数のSSLサイトをホストし、各SSLサイトには独自のIPアドレスがあります（これを行うためのより良い方法がない場合）。 したがって、最初のステップは、Apacheに少なくとも2つの異なるIPアドレスを認識させることだと思います。現在、私はhttp://mysite.comとhttps://mysite.comの WebサイトのSSLバージョンと非SSLバージョンを持っています。現在、どちらもサーバーで実行していますが、両方で異なるIPアドレスを使用することはできません。現在、どちらもIP 1.1.1.1を使用しています。2つ目のIPアドレス2.2.2.2を購入しましたが、https： //mysite.comはそれを受け入れず、Firefoxはエラー「ssl_error_rx_record_too_long」で不平を言います。ここに私の2つのvhostファイルを見てみましょう / etc / apache2 / site-enabled / 000-default #NameVirtualHost 1.1.1.1:80 #<VirtualHost 1.1.1.1:80> <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride …

10 apache-2.2  ubuntu  ssl  virtualhost