タグ付けされた質問 「ssl」

通常、Internet Explorerはまったく使用しません。インターフェイステスト（開発マシンおよび暗号化されていないHTTP）の設計時にのみ使用します。毎週、IE11がサイトにアクセスできるというSSL Labsサーバーテストを実行しています。 今日、サードパーティのサービスの1つで問題を発見しました。一部の特別な機能がChromeまたはFirefoxで動作しないため、Windows 7マシンでIE11を起動しました。IE11には、基本的に「ページを表示できませんでした」とだけ表示される組み込みのエラーページが表示されます。そして、DNSなどをチェックするような典型的なダミーのbla bla。エラーページ全体に暗号化関連の問題の兆候はまったくありませんでした（通常のブラウザーが行うように）。 数か月前にこのschannel問題が発生し、TLS1.2対応IEがHTTPSサイトにアクセスできなくなりました。その時点から、「IEのWTFチェックリスト」にはチェックポイントとして「TLS1.2を無効にする」が含まれています。そして、私は何を言うべきですか... IE内でTLS1.2を無効にすると機能し、私のサイトが再び利用可能になります。しかし、私は訪問者のブラウザでこれを行うことはできません。 さて、本当の質問：なぜIE 1.2でTLS 1.2が有効になっているのにInternet Explorer 11がHTTPSサイトに接続できないのですか？そして、サーバー側でそれを修正する方法は？SSL Labsは、私のサイトですべてがうまくいっていると言っています。 重要な編集： IE11は、TLS1.2が有効になっている場合、プレフィックスなしのドメインではなく、プレフィックスなしのドメインのみを処理できるようです。プレフィックスなしのドメイン（www）は機能しますが、プレフィックスを含むドメイン（www）は機能しません。 サーバー側では、debian / 7 nginx / 1.7.8 openssl / 1.0.1eを使用しています 利用可能な暗号は次のとおりです。 ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15 nginx  ssl  openssl  internet-explorer  tls 

stunnelをHTTPSリバースプロキシとして使用する場合、POODLE SSLの脆弱性をどのように緩和できますか？

15 ssl  openssl  stunnel 

CNAMEワイルドカードサポートがあるため、Amazon CloudFrontを介して動的なウェブサイトをホストできます。ただし、私のサイトの一部のページはHTTPSを使用しています。Amazonには、SSL証明書をCloudFrontディストリビューションに関連付ける方法に関するドキュメントがいくつかありますが、価格は月額600ドルであることが示されています。 私の質問は... HTTPリクエストがCloudFrontから提供されるようにCloudFrontを構成することは可能ですが、HTTPSリクエストはCloudFrontによって無視され、オリジンに直接渡されます（私の場合、追加費用なしでSSLを復号化できるElastic Load Balancer） ？

15 ssl  https  amazon-elb  amazon-cloudfront 

自己署名SSL証明書を作成した後、それらを使用するようにリモートMySQLサーバーを構成しました（SSLが有効になっています） リモートサーバーにSSH接続し、SSLを使用して独自のmysqldに接続してみます（MySQLサーバーは5.5.25です）。 mysql -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter password: ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1) OK、SSL経由で同じサーバーに接続する際に問題があることを読んだことを覚えています。そこで、ローカルキーにクライアントキーをダウンロードし、そこからテストします... mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert Enter password: ERROR 2026 (HY000): SSL connection error この「SSL接続エラー」エラーが何を指しているのかはわかりませんが、を省略すると-ssl-ca、SSLを使用して接続できます。 mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key Enter password: …

15 mysql  ssl  ssl-certificate  mysql5  mysql5.5 

私はnginxを使用してhttps接続経由でsshをセットアップしようとしています。私は実際の例を見つけていないので、どんな助けも感謝します！ ~$ cat .ssh/config Host example.net Hostname example.net ProtocolKeepAlives 30 DynamicForward 8118 ProxyCommand /usr/bin/proxytunnel -p ssh.example.net:443 -d localhost:22 -E -v -H "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" ~$ ssh user@example.net Local proxy ssh.example.net resolves to 115.xxx.xxx.xxx Connected to ssh.example.net:443 (local proxy) Tunneling to localhost:22 (destination) Communication with local proxy: -> …

15 ssh  nginx  ssl  proxy  http-proxy 

いくつかの仮想ホストがある小さなプライベートWebサーバーがあります。サーバーは、SSL接続が確立された後にのみ、どの仮想ホストが要求されたかを検出するため、個々の仮想ホストに証明書を割り当てることは不可能であることを知っています。しかし、複数のドメインをリストする単一のSSL証明書を持つことは可能ですか？または、少なくとも* .example.comのようなワイルドカードドメイン。はいの場合、そのような自己署名証明書を作成するには、どのLinuxコマンドを作成する必要がありますか？ 追加：明確にするために-私はすべての仮想ホストに対して1つのIPアドレスしか持っていません。

15 apache-2.2  ssl  virtualhost  certificate 

SSL証明書ベンダー（RapidSSL、FWIW）で「証明書の再発行」機能を使用して新しい証明書を取得しました。その際、新しい秘密キーとパスフレーズを作成して使用しました。 この証明書を再発行すると、以前に発行された証明書が無効になりますか？もしそうなら、それはどれくらい時間がかかりますか？

15 ssl  certificate  revoked 

WebサーバーとしてApacheを使用するEC2インスタンスがあります（アプリサーバーとしてWildflyがありますが、この問題に関係があるかどうかはわかりません）。EC2の前には、HTTPSを終了してSSL証明書を適用するロードバランサーがあります。 HTTPとHTTPSは両方ともChromeで正常に動作しますが、残念ながらSafariでは動作しません。http://test.papereed.comへのアクセスは正常に機能しますが、https ：//test.papereed.comへのアクセスはエラーになります "Safari can't open the page. The error is "The operation couldn't be completed. Protocol error" (NSPOSIXErrorDomain:100)" 私は/ etc / httpd / logs / error_logと/ etc / httpd / logs / access_logを調べましたが、問題を解決するためのヒントを見つけることなく、Safariコンソールも調べました。そして、それは私の知識がどこまで進んでいるかということです。

15 ssl  https  safari 

rpmコマンドを実行しようとすると、次のエラーが表示されます。なぜカールエラーが発生するのかわかりませんが、すべて失敗したさまざまなオプションを試しました。 CentOS7を実行し、プロキシの背後で [root@CentOS7]# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm Retrieving https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't …

15 ssl  centos7  rpm  curl 

これは少なくとも他のいくつかの質問の複製のように見えますが、私はそれらを何度か読んで、まだ何か間違ったことをしています。 以下に、myexample.comのnginx構成ファイルの内容を示します/etc/nginx/sites-available。 server { listen 443 ssl; listen [::]:443 ssl; server_name myexample.com www.myexample.com; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ssl_certificate /etc/letsencrypt/live/myexample.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myexample.com/privkey.pem; #Configures the publicly served root directory #Configures the index file to be served root /var/www/myexample.com; index index.html index.htm; } 私がに行くときには、作品https://myexample.comコンテンツが提供され、接続が安全です。そのため、この設定は良いようです。 SSLポートを9443に変更してnginx構成をリロードすると、エラーなしで構成がリロードされますが、https： //myexample.comにアクセスするとブラウザーにエラーが表示されます（このサイトにアクセスできません/myexample.comは拒否されました接続します。ERR_CONNECTION_REFUSED） ここ、ここ、およびここ（特に）で提案とドキュメントを試しましたが、常にERR_CONNECTION_REFUSEDエラーが発生します。 非標準ポートを使用し、そのポートをhttps://myexample.com:9443などの URLに明示的に入力できることに注意してください。しかし、私はそれをしたくありません。ユーザーがmyexample.comを任意のブラウザーに入力し、nginxが安全な接続に自動的にリダイレクトできるようにしたいのです。 繰り返しますが、標準の443 SSLポートを使用しても問題はありません。 編集： debian …

15 nginx  ssl 

MySQLサーバーに接続するPHPアプリケーションがあり、Webおよびアプリケーションサーバーとデータベース間の接続を保護したいと考えています。 ピーク時には、Webサーバーは何百ものデータベースへの同時接続を行い、多数の小さな読み取りと書き込みを実行します。これは最適ではないことを認識しており、これと並行してデータベース接続の数を減らすことに取り組んでいます。 現在、データベースへの永続的な接続が有効になっていないため、将来的にはこれとは別に実装するつもりです。 ハードウェアに関しては-MySQLサーバーはWebサーバーと同様に非常にチャンキー（16コア）です。それらは専用サーバーです。 私の質問は、データベースサーバーへの接続を保護および暗号化する最も高性能な方法を取り巻いています。 これまでの研究では、主なパフォーマンスオーバーヘッドはSSL接続のセットアップにあることが示唆されています。SSLが接続されると、パフォーマンスの低下はほとんどありません。そして、接続を保護する各方法について私が持っているものは次のとおりです。 MySQL SSL証明書-通常のSSLと同じように機能します。クライアント証明書を使用して、不正な接続を防止できます。既存のセットアップとの永続的な接続はありません。ファイアウォールの開いているポートでMySQLをリッスンさせる必要があります。 un。ポートsslトンネルへのポートをセットアップします。MySQLを再構成する必要はありません。悪意のあるMySQL接続の試行を防ぐために、通常のMySQLリスニングポートを閉じることができます。持続的接続はサポートしていません。不明なパフォーマンスヒット。 SSHトンネリング。クライアントとサーバーの間にSSHトンネルを作成します。MySQLを再構成する必要はありません。悪意のあるMySQL接続の試行を防ぐために、通常のMySQLリスニングポートを閉じることができます。永続的な接続をサポートしますが、これらは時々ドロップアウトします。不明なパフォーマンスヒット。 これは私が得ることができる限りです。ベンチマークの限界を認識しています-ベンチマークを実行した経験では、実際のトラフィックをシミュレートすることは非常に困難です。私は誰かがMySQLを保護する自分の経験に基づいていくつかのアドバイスを望んでいたのですか？ ありがとう

15 mysql  ssl  ssh-tunnel  stunnel 

DROWN攻撃に対してPostfix + Dovecotサーバーにパッチを適用しました（sslv2とsslv3を無効にしました）。 https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... 私は、コマンドラインで接続した場合その後、OpenSSLののs_client使用して-ssl2スイッチを、プロトコルがサポートされていません。これをスキャナーによる誤検出と見なすことはできますか？

14 security  ssl 

現在、300台のサーバーでホストされているexample.comなどのドメインに標準のSSL証明書を使用しています。誰かがリクエストするhttps://example.comと、サーバーの1つがリクエストを処理します。 次に、SSL証明書をStandardから複数のサブドメインを保護するものにアップグレードします。レジストラであるGoDaddyは、現在の証明書をキャンセルする必要があり、代わりに新しい証明書が発行されることを通知しました。 現在、新しいサーバーが発行されると、300台のサーバー上の古いサーバーを交換するのに約10日かかります。この10日間で、ユーザーがリクエストをhttps://example.com行い、古い証明書を保持しているサーバーがリクエストを処理する場合、ユーザーのブラウザーには何が表示されますか？ ユーザーに無効な証明書エラーが表示されますか？ 注：すべてのバックラッシュを緩和するために、300台を超えるサーバーを更新するのに10日かかる理由は、サーバーが専用バス、列車、および航空機に展開され、オフラインホットスポットを介してリクエストを処理するためです。彼らは数日間インターネットに接続せずにいくつかのリクエストに応えることができます。したがって、前回の更新レートに従って、すべてを更新するのに約10日かかります。

14 ssl  ssl-certificate 

Exchange 2007およびIIS6.0を実行しているSBS 2008 CompanyAには、同じ屋根の下で営業する2つの会社があります。電子メールに対応するために、これを管理するユーザーごとに3つのExchangeアカウントがあります。すべてのユーザーは、CompanyAアカウントを使用してドメインにログインします。 CORP \ user user@companyA.com CORP \ user-companyb user@companyB.com <-電子メールにのみ使用 CORP \ user-companyc user@companyC.com <-電子メールにのみ使用 電子メールは、内部およびOWAを介して正常に機能します。companyBおよびcompanyCの電子メールへのアクセスを必要とするリモートユーザー用にOutlookをセットアップすると、問題が発生し、Outlookが証明書エラーをポップアップします。 SSL証明書SANには次のDNS名があります。 webmail.companyA.com www.webmail.companyA.com CORP-SBS CORP-SBS.local autdiscover.companyA.com companyCの電子メールアドレスにリモートでアクセスするユーザーから、これは以前にはなかったと言われました。これは、CEOが自身でDNSプロバイダーを変更したことから始まり、その過程で元のDNS設定が失われました。彼は、この問題を修正するSRVレコードの作成について言及しましたが、それはそれに関するものです。 これに適切に対処する方法に関するガイダンスを探しています。

14 ssl  exchange  outlook  certificate 

サーバーの1つでOpenSSH_6.6p1をコンパイルしました。アップグレードされたサーバーにSSH経由でログインできます。ただし、これからOpenSSH_6.6p1またはOpenSSH_5.8を実行している他のサーバーに接続することはできません。接続中に、次のようなエラーが表示されます。 Read from socket failed: Connection reset by peer ログの宛先サーバーで、次のように表示されます。 sshd: fatal: Read from socket failed: Connection reset by peer [preauth] ここで述べたようにcipher_spec [ssh -c aes128-ctr destination-server]を指定してみて、接続することができました。デフォルトで暗号を使用するようにsshを設定するにはどうすればよいですか？ここで暗号が必要なのはなぜですか？

14 linux  ssh  ssl