タグ付けされた質問 「ssl」

Ubuntuでは、証明書に署名するために使用される秘密鍵の最適な場所のようです（nginxで使用するため） /etc/ssl/private/ この答えは、証明書が入るべきであると付け加えています/etc/ssl/certs/が、それは安全でない場所のようです。ください.crtファイルを安全に保管する必要があるか、彼らは公共と考えていますか？

62 ssl  ssl-certificate  openssl 

私は次の構成を持っています： SSLEngine on SSLCertificateFile /etc/httpd/conf/login.domain.com.crt SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP しかし、私は生成方法.crtと.keyファイルを知りません。

60 ssl  java  ssl-certificate  virtualhost 

SSLサイトからのリクエストを非SSLサイト経由でプロキシしたい。私のApache httpd.confは次のようになります。 <VirtualHost 1.2.3.4:80> ServerName foo.com ProxyPass / https://bar.com/ </VirtualHost> したがって、http://foo.comにアクセスすると、Apacheがhttps://bar.comにリクエストを行い、取得したページを送信することを期待しています。 代わりに、500エラーが表示され、エラーログに次のように表示されます。 [error] proxy: HTTPS: failed to enable ssl support for 4.3.2.1:443 (bar.com) おそらく、ここにディレクティブがありません。どっち？ セキュリティへの影響を気にしないでください。私はリスクを完全に理解しています。

59 apache-2.2  ssl  proxy  proxypass 

openSSLを使用してローカルで生成できるSSL証明書を購入する必要がある理由を理解できません。購入した証明書とローカルで生成したテスト証明書の違いは何ですか？それは単なる大きな詐欺ですか？

57 ssl  ssl-certificate  https 

私はnginxで2つのことを行うルールを作成したい： 「www」を削除します。リクエストURIから 要求URIが「http」の場合、「https」にリダイレクトします これらのそれぞれを個別に行う方法の例はたくさんありますが、両方を正しく実行する（つまり、リダイレクトループを作成せず、すべてのケースを適切に処理する）ソリューションを見つけることはできません。 これらのすべてのケースを処理する必要があります。 1. http://www.example.com/path 2. https://www.example.com/path 3. http://example.com/path 4. https://example.com/path これらはすべて、ループせずにhttps://example.com/path（＃4）で終わるはずです。何か案は？

57 nginx  ssl  https  rewrite 

最近、非公式に「logjam」と呼ばれるDiffie-Hellmanの新しい脆弱性が公開されました。このページでは、この脆弱性に対処する方法を提案しています。 TLS用のDiffie-Hellmanを正しく展開するための3つの推奨事項があります。 暗号スイートのエクスポートを無効にします。最新のブラウザーはエクスポートスイートをサポートしていませんが、FREAKおよびLogjam攻撃により、中間者攻撃者はブラウザーをだましてエクスポートグレードの暗号化を使用させ、その後TLS接続を解読できます。輸出暗号は、強力な暗号プロトコルが米国から輸出されないようにする1990年代の政策の名残です。現代のクライアントはエクスポートスイートに依存せず、それらを無効にすることにはほとんどマイナス面はありません。 （エフェメラル）楕円曲線ディフィーヘルマン（ECDHE）を展開します。Elliptic-Curve Diffie-Hellman（ECDH）鍵交換は、既知の実行可能な暗号解読攻撃をすべて回避し、現在のWebブラウザーは、元の有限フィールドDiffie-HellmanよりもECDHEを優先しています。標準のDiffie-Hellmanグループを攻撃するために使用した離散ログアルゴリズムは、事前計算の利点ほど強くなく、個々のサーバーが一意の楕円曲線を生成する必要はありません。 強力でユニークなDiffie Hellmanグループを生成します。少数の固定グループが数百万台のサーバーで使用されているため、事前計算や盗聴の可能性があります。管理者は、各Webサイトまたはサーバーの「安全な」素数を使用して、一意の2048ビット以上のDiffie-Hellmanグループを生成する必要があります。 上記の推奨事項に従って、サーバーをセキュリティで保護するためのベストプラクティスの手順は何ですか？

56 apache-2.2  ssl  apache-2.4  httpd  vulnerability 

WebアプリケーションとSSL証明書をホストするのと同じマシンでCSR（証明書署名要求）を生成する必要がありますか？ SSL Shopperのこのページにはそう書かれていますが、それが本当かどうかはわかりません。クラスター内のサーバーごとに個別のSSL証明書を購入する必要があるからです。 CSRとは？CSRまたは証明書署名要求は、証明書が使用されるサーバーで生成される暗号化されたテキストのブロックです。

54 ssl  ssl-certificate  csr 

IISを実行しているWindows Server 2012システムでCVE-2014-3566にパッチを適用するにはどうすればよいですか？ Windows Updateにパッチはありますか、またはSSL 3.0を無効にするためにレジストリを変更する必要がありますか？

53 windows  iis  ssl 

そのため、Windows Server 2012のリリースでは、古いリモートデスクトップ関連の構成ユーティリティの多くが削除されました。特に、RDSHが使用するカスタム証明書を構成できるRDP-Tcpプロパティダイアログにアクセスできるリモートデスクトップセッションホスト構成ユーティリティはありません。その代わりに、新しいサーバーマネージャーの全体的な "配置プロパティの編集"ワークフローの一部である素晴らしい統合GUIがあります。問題は、リモートデスクトップサービスの役割がインストールされている場合にのみ、そのワークフローにアクセスできることです（私が知る限り）。 これは、Microsoft側の見落としのようです。リモートデスクトップサービスの役割を不必要にインストールせずに、既定のリモート管理モードで実行しているWindows Server 2012でRDPのカスタムSSL証明書を構成するにはどうすればよいですか？

52 ssl  rdp  remote-desktop-services  windows-server-2012 

Chrome 58以降、依存する自己署名証明書を受け入れなくなりましたCommon Name：https ://productforums.google.com/forum/#!topic/chrome/zVo3M8CgKzQ;context-place=topicsearchin/chrome/category $ 3ACanary％7Csort： relevance％7Cspell：false 代わりにを使用する必要がありSubject Alt Nameます。：私は以前に自己署名証明書を生成する方法については、このガイド、次のされていますhttps://devcenter.heroku.com/articles/ssl-certificate-self私は必要なので、素晴らしい仕事をserver.crtし、server.key私がやっている何のためにファイルを。今では、SANChrome 58で動作しないすべての試みを含む新しい証明書を生成する必要があります。 これが私がやったことです： 上記のHerokuの記事の手順に従ってキーを生成しました。次に、新しいOpenSSL構成ファイルを作成しました。 [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany [ san ] subjectAltName = DNS:dev.mycompany.com 次にserver.crt、次のコマンドでを生成しました： …

52 ssl  ssl-certificate  openssl  chrome 

フォルダーに自分cert.pemとcert.keyファイルがあり/etc/apache2/sslます。 最も安全な許可と所有権は次のとおりです。 /etc/apache2/ssl ディレクトリ /etc/apache2/ssl/cert.pem ファイル /etc/apache2/ssl/cert.key ファイル （https://もちろんアクセス作品を保証する:)。 おかげで、 JP

50 apache-2.2  security  permissions  ssl  file-permissions 

私が頻繁に使用するWebサイトは、サーバーに対してTLSを有効にすることを最終的に決定しました。メンテナーは、TLS はオプションでなければならないと主張しています。どうして？ 自分のWebサイトでは、長い期間を指定してTLSとHSTSを長い間設定しており、弱い暗号スイートは無効になっています。プレーンテキストアクセスは、TLSで保護されたバージョンへのHTTP 301で保護されます。これは私のウェブサイトに悪影響を及ぼしますか？

49 ssl  hsts 

クレジットカードプロセッサは最近、2016年6月30日現在、PCI準拠を維持するためにTLS 1.0を無効にする必要があることを通知しました。Windows Server 2008 R2マシンでTLS 1.0を無効にすることで予防的にしようとしましたが、リブート直後にリモートデスクトッププロトコル（RDP）を介して完全に接続できなかったことがわかりました。調査の結果、RDPはTLS 1.0のみをサポートしているようです（こちらまたはこちらをご覧ください）。少なくとも、RDP over TLS 1.1またはTLS 1.2を有効にする方法は明確ではありません。RDPを壊さずにWindows Server 2008 R2でTLS 1.0を無効にする方法を知っている人はいますか？MicrosoftはRDP over TLS 1.1またはTLS 1.2のサポートを計画していますか？ 注：RDPセキュリティレイヤーを使用するようにサーバーを構成することでそれを行う方法があるように見えますが、ネットワークレベル認証を無効にします。 更新1：マイクロソフトは現在、この問題に対処しています。関連するサーバーの更新については、以下の回答を参照してください。 更新2：Microsoftは、PCI DSS 3.1のSQL Serverサポートに関するチュートリアルをリリースしました。

48 windows-server-2008-r2  ssl  rdp  tls  pci-dss 

Thunderbird（および他の多くのクライアントでも同様）では、「SSL / TLS」と「STARTTLS」のどちらかを選択するオプションがあります。 私が理解している限り、「STARTTLS」は簡単な言葉で「両端がTLSをサポートしている場合は暗号化し、そうでなければ転送を暗号化しない」ことを意味します。「SSL / TLS」とは、簡単な言葉で「常に暗号化するか、まったく接続しない」ことを意味します。これは正しいです？ または言い換えれば： STARTTLSは、私に通知せずにプレーンテキストにフォールバックできるため、SSL / TLSより安全ではありませんか？

45 ssl  encryption  starttls 

私はに住んでいるwebsocketサーバーを作成していますws.mysite.example。WebソケットサーバーをSSL暗号化およびdomain.exampleSSL暗号化する必要があります。作成するサブドメインごとに新しい証明書を購入する必要がありますか？作成するサブドメインごとに専用のIPアドレスが必要ですか？サブドメインが複数ある可能性があります。 Ubuntuで実行されているNGINXとGunicornを使用しています。

41 ssl  ssl-certificate  subdomain