タグ付けされた質問 「ssl」

httpsを使用してJavaScriptファイルをクライアントに送信するWebサイトがあります。ウェブサイトはgetsimpleapps.comです。 このファイルは、https（20.08s-29.08s）の方がhttp（380ms）の場合より52倍遅く読み込まれています。 サイトのホームページは、javacriptファイルと同じ低速性を共有しています。 http://getsimpleapps.com https://getsimpleapps.com 私は最近ドリームホストからlinodeに切り替え、SSLが機能するまで新しいサーバーでSSLを機能させることにハッキングしました。クレイジーな設定はしていません。 linodeはUbuntu 12.04を実行しており、サイトは（LAMP）スタックの上にあります。 スタックオーバーフローコミュニティに対する私の質問は、次のとおりです。サーバーでSSLおよびHTTPSを修正するにはどうすればよいですか？スタックオーバーフローがHTTPSの遅さに関する質問でいっぱいであることは知っていますが、実際の解決策はありません。ubuntuチュートリアルまたは構成ガイドが理想的です。 ファイル：/etc/apache2/sites-enabled/getsimpleapps.com <VirtualHost *:80> ServerAdmin admin@getsimpleapps.com ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com DocumentRoot /srv/sites/getsimpleapps.com/public/ ErrorLog /srv/sites/getsimpleapps.com/logs/error.log CustomLog /srv/sites/getsimpleapps.com/logs/access.log combined </VirtualHost> <VirtualHost 50.116.58.18:443> SSLEngine On #SSLCertificateFile /etc/apache2/ssl/www.getsimpleapps.com.crt #SSLCertificateKeyFile /etc/apache2/ssl/www.getsimpleapps.com.key #SSLCACertificateFile /etc/apache2/ssl/comodo.crt SSLCertificateFile /etc/apache2/ssl/dreamhost/dh.crt SSLCertificateKeyFile /etc/apache2/ssl/dreamhost/dh.key SSLCACertificateFile /etc/apache2/ssl/dreamhost/dh.cer ServerAdmin admin@getsimpleapps.com ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com DocumentRoot /srv/sites/getsimpleapps.com/public/ …

8 apache-2.2  ubuntu  ssl  https 

私はdebian squeeze標準のApacheインストール（2.2）を実行し、SSLClientCertificatesを利用してユーザーを認証します。これはこれまでのところうまくいきます。 しかし、いくつかの並列リクエストのスローダウンに気づき、自分SSLSessionCacheが機能しているかどうかを確認しようとしました。 そのため、localhost / server-statusを確認すると、次のようになります。 SSL/TLS Session Cache Status: cache type: SHMCB, shared memory: 512000 bytes, current sessions: 0 subcaches: 32, indexes per subcache: 133 index usage: 0%, cache usage: 0% total sessions stored since starting: 0 total sessions expired since starting: 0 total (pre-expiry) sessions scrolled out of …

8 apache-2.2  ssl  cache  session 

以前のsysadminが発行したSSL証明書（crtファイル）を持っています。ファイルシステムを検索すると、いくつかの.keyファイルが見つかりました。crtをキーファイルに一致させ、それらが一致することを確認するにはどうすればよいですか？これは、Apache2 modsslを搭載したUbuntu Server 11.10です。

8 apache-2.2  ubuntu  ssl  ssl-certificate 

以前は、別の会社からのSSL証明書を持っていました。昨夜は期限切れでした。今朝、新しいものを購入し、最初の1つを「サーバー証明書」の下のサーバーから削除して、新しいリクエストを作成しました。「証明書リクエストの完了」をクリックして新しい証明書を入力すると、問題なくインストールされました。 ただし、ブラウザでは、サイトにアクセスするたびに、安全ではないというプロンプトがブラウザに表示されます。Firefoxで、証明書を確認するためにポップアップするダイアログで、[証明書を取得]を数回クリックしました。それでも無効と表示され、[詳細の表示]をクリックすると、発行者名は元の証明書の名前です。期限切れで削除されました。 サーバーを再起動することしか考えられませんでした。サイコロはありません。 何かアドバイスはありますか？

8 iis-7  ssl 

私はSBS 2011サーバーにSSTP VPNをセットアップしようと試みており、証明書の問題とずっと闘っています。外部VPNアドレスの新しい証明書を生成し、それをクライアントマシンにインポートして、サーバーを信頼できる証明機関として追加できました。今私はエラーを受け取ります： Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline. 証明書でCRL配布ポイントを確認したところ、URLが内部アドレスのみであることがわかりました。そのため、外部アドレスを指す別のURLを追加しました（元の内部URLはそのままにしておきます）。新しい証明書を生成し、クライアントから既存の証明書を削除してインポートし、RRASを再起動して、SSTPが新しい証明書を使用していることを確認しましたが、それでも同じエラーが発生します。 インポートした証明書の詳細を表示すると、新しい外部CDPがリストに表示されていることがわかります（http://mydomain.com/CertEnroll/MYSERVER-CA.crlの影響によるもの）。これをWebブラウザーに入力すると、CRLのインポートが成功したというメッセージが表示され、URLが外部からアクセス可能であり、オンラインになっていることがわかります。 これは私と安全なVPNの間の最後のストップのようですが、ここで何が欠けていますか？

8 windows-server-2008  vpn  ssl  windows-sbs-2011 

現在、私は自分のphpアプリケーション（5.3.7で実行されているphp）にApache 2.2.3およびCentOS 5.4を使用しており、アプリケーションはHTTPSおよびルートCA証明書で実行されています。 問題は、IE9でいくつかの奇妙な問題が発生していることです（IE9のみ）。IE9ブラウザーがHTTPS要求をサーバーに送信すると、HTTPS応答がない場合があります。私が気付いたことは、IE9がページを更新することです。具体的には、上記のページはログインページです。したがって、ユーザー名とパスワードを入力してフォームを送信すると、応答がなく、IE9は同じログインページを再度リロードするように見えます。（ユーザー名とパスワードが空白） アプリケーションレベルからトレースすると、ユーザー名とパスワードを受け取り、アプリケーションはエラーなしで終了しました。 主な問題は、それを毎回再現することができないことです。問題なくログインできる場合もありますが、上記の問題が発生する場合もあります。 現在、当社にはネットワークチーム、開発者、その他のチームがいます。私たちのapacheはロードバランサーの下で実行されています。ネットワーク関係者は、設定を決して変更しないと主張し、唯一の変更はアプリケーションです。しかし、開発者の観点から見ると、変更はログインプロセスとは何の関係もありません。 私の観点からは、ユーザーが[送信]をクリックすると、アプリケーション（Apache）がHTML（HTTPS応答）を送信することで実行するように見えますが、HTMLは奇跡的にネットワークから消えてしまいました。接続のキープアライブと関係があると思いますか？おそらくIE9ブラウザエージェントはそれを別の方法で処理し、どういうわけかそれは接続が失敗したと見なし、再試行のためにページをリロードしますか？ しかしとにかく、私はSSL接続のためのApacheの次の設定に気づきました。 SetEnvIf User-Agent " 。MSIE 。 " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 IE9以上を除外するようにセットアップする方法がわからない場合は、検索を実行すると、上記の設定はIEがApacheに接続しているときの長期にわたる問題を修正するためのものです。しかし、IE9はまったく新しいものなので、おそらく問題はすでに修正されており、設定を更新する必要がありますか？ うまくいけば、誰かがこれにいくつかの光を当てることができます。

8 apache-2.2  ssl  internet-explorer-9 

SSLの透過プロキシ（Squidではない）をセットアップする方法について、私は何時間も探してきました。一般的な答えはできませんが、いくつかの方法があることはわかっています。私の目的は以下のみです： ブラックリスト/ホワイトリストドメイン名（IP番号ではない）。コンテンツはフィルタリングまたは変更されません。 これらのリストを使用してユーザーを強制します。Webブラウザーでこのような設定を変更すると、元に戻すことができます。 次のページでは、トラフィックを変更せずに通過させることができますが、方法はわかりません： iptables https透過プロキシとprivoxy？ 次のページは、私が自分で機能させることができなかった443のiptablesルールを示しています。http：//alien.slackbook.org/dokuwiki/doku.php？id = slackware： proxy 次のページでは、これをSquidでのみ機能させる方法を説明しています。http： //www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https 編集：ある人がここで言う： IPTABLESを使用してSquidの周りにHTTPS（443）パススルーを作成するにはどうすればよいですか？ 「あなたにとって最善のことは、ポート443への直接アクセスをブロックし、HTTPSを使用したい場合は、プロキシを使用するようにブラウザを設定する必要があることをユーザーに伝えることです。」しかし、私は443を完全にブロックする方法を知っています。プロキシの下でそれを機能させるためではありません。

8 ssl  iptables  https  transparent-proxy 

ドメインのGlobalSignドメイン証明書があります。証明書をIISにインストールし、GlobalSign Domain Intermediate証明書をローカルコンピューターの中間証明機関に追加しました IISが中間証明書（Firefoxでエラーの原因）を送信せず、ドメイン証明書のみを送信しているようです。私はこれをOpenSSLとGlobalSign自身のヘルスチェッカーを含むさまざまなウェブサイトで検証しました。 IISを見ると、チェーン全体をたどることができ、各証明書は "ok"ですが、インストール済みであることを示すオプションがなくても、証明書は既に問題ありません。 何が悪いのかについてのアイデアはありますか？

8 iis  ssl  certificate 

ワイルドカードのssl証明書で保護されているmysite.test.comのように、ユーザーごとにサブドメインを作成するとします。ユーザーがCNAMEを介して独自のカスタムURLを持つことを許可する場合、新しいURLは引き続き証明書でカバーされますか、それともカスタムURLごとに個別の証明書が必要ですか？

8 ssl  ssl-certificate  cname-record 

port-shareオプションを使用して、ポート443でリッスンするようにOpenVPNを設定し、すべてのHTTPSトラフィックをApacheに渡そうとしています。関連する構成スニペットは次のとおりです。 OpenVPN local ${PUBLIC_IP} port 443 port-share localhost 443 SSLを使用するApache Listen localhost:443 OpenVPNクライアントは問題なく接続できますが、HTTPS対応のページを開くとエラーが発生します。Firefoxさんのコメント： SSLは、最大許容長を超えるレコードを受け取りました。 （エラーコード：ssl_error_rx_record_too_long） カールは言う curl：（35）エラー：140770FC：SSLルーチン：SSL23_GET_SERVER_HELLO：不明なプロトコル エラーログに次のメッセージが表示されるため、リクエストはApacheで終了します。 [Wed Oct 06 01:10:20 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:04 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:51 2010] [error] …

8 apache-2.2  ssl  openvpn 

Verisignは、これらすべての証明書発行会社（Verisign Thawte GeotrustおよびRapidssl）を所有しています。 それらの違いは何ですか？なぜ価格差がそれほど大きいのですか？ 更新：ここに私が遭遇したいくつかの違いがあります： GeoTrustはチェーン化されていません：チェーン全体を適切に検証しないデバイスは、これでうまくいく可能性があります。ActiveSyncは、チェーンされた証明書よりもチェーンされていない証明書の方がうまく機能することを確認しました。 RapidSSLおよびGeotrust証明書はサーバーごとにライセンスが付与されないため、Webファーム全体に対して1つの証明書を購入できます。 Verisign証明書には、毎日そのようなソフトウェアがサイトで見つかった場合に警告する無料のマルウェアスキャンが付属しています。 Verisignコード署名証明書のみがWinQualで機能します

8 ssl  ssl-certificate  wildcard  tls 

奇妙な設定があります。次のようになります。 Browser ----------> HTTPs Proxy ------> Apache HTTP -----> Tomcat AJP HTTPS HTTP AJP HTTPSプロキシ（非常にダムなプロキシ）では、URLはhttps：//proxy.domain.com/appのようになります。次に、http：//apache.domain.com/app（ホストproxy.domain.comを渡す）のように、HTTPを使用してApacheにトンネリングされます。Apacheは、AJPプロトコルを使用してローカルでajp：// localhost：8009 / app /にリクエストをトンネルします。 アプリサーバーがリクエストされたパスをリダイレクトしたい場合があります。たとえば、/ app /を/ app / webappにリダイレクトします。したがって、パスをリダイレクトする302をApacheに送り返します-おそらくajp：// localhost：8009 / app / webappのようなものです。次に、ApacheはリダイレクトURLをhttp：//proxy.domain.com/app/webappに書き換えます。HTTPSプロキシはダムなので、リダイレクトを分析してhttpをhttpsに変更しません。 したがって、ユーザーをhttpsに送信するために302リダイレクトURLを書き換えるようにApacheを設定できるかどうかを考えたいと思います。 これが、Apacheのhttps.confでこれまでに使用した設定です。 ProxyPreserveHost on RewriteEngine on RewriteRule ^/app$ /app/ [PT] ProxyPass /app ajp://localhost:8009/app ProxyPassReverseを使用してみましたが、302リダイレクトURLをhttpではなくhttpsで強制的に書き換える方法を理解できませんでした。 何かご意見は？

8 apache-2.2  ssl  redirect  mod-proxy 

Ubuntu 10.04のApache / 2.2.14で（自己署名の）SSL証明書サイトを実行していますが、さまざまなブラウザが接続試行の半分でエラーを出しています。ちょうど今、Chromeからこの一時的なエラーを見ました： "Error 126 (net::ERR_SSL_BAD_RECORD_MAC_ALERT): Unknown error." リフレッシュを押すと、問題はしばらく消えます。 wgetも： $ wget --no-check-certificate https://dev.foo.com/deps/ --2010-09-08 19:30:26-- https://dev.foo.com/deps/ Resolving dev.foo.com... 184.72.53.220 Connecting to dev.foo.com|184.72.53.220|:443... connected. OpenSSL: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 OpenSSL: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed OpenSSL: error:1408D07B:SSL routines:SSL3_GET_KEY_EXCHANGE:bad signature Unable to establish SSL connection. すぐにもう一度実行すると、うまくいきます： $ wget --no-check-certificate …

8 apache-2.2  ssl  ssl-certificate  httpd  tls 

同じキーを使用して2つのSSL証明書を生成した場合、証明書の強度が低下しますか？（それは暗号解読またはそのチャネル全体のデータを危険にさらす可能性の扉を開きますか？） ありがとう

8 security  ssl  encryption  cryptography 

私は自分のサーバー（実行している場所Apache/2.4.27）を持っていますが、今日（BraveとGoogle Chrome-異なるコンピューター）から、このエラーが自分のWebサイトから取得されていることに気付きました。 This site can’t provide a secure connection mywebsite.com sent an invalid response. ERR_SSL_PROTOCOL_ERROR そして奇妙なことに、私のウェブサイトで5回クリックするたびにこのエラーが発生します。 私のconfファイルから： SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mywebsite/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mywebsite/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf SSLCertificateChainFile /etc/letsencrypt/live/mywebsite/chain.pem SSLCompression off からoptions-ssl-apache.conf; SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLCompression off 私はウェブサイトからログファイルをチェックしましたが、何もここにもありません。 /var/log/apache2/error.log 私はこのエラーの原因を突き止めようとしています、この問題を解決するにはどうすればよいですか？ 編集： 私が試した場合openssl s_client -connect mywebsite.com:443、それは戻ります： 私が使用しています： OpenSSL …

7 ssl  apache-2.4