タグ付けされた質問 「tls」

CentOS 5.9を使用しています。 Linuxシェルから、リモートWebサーバーが（TLS 1.0ではなく）TLS 1.2を特にサポートしているかどうかを確認したいと思います。それを確認する簡単な方法はありますか？ 関連するオプションは表示されopensslませんが、おそらく何かを見落としています。

102 linux  centos  openssl  tls 

Windows Server 2008上で実行されているExchange 2007サーバーがあります。クライアントは別のベンダーのメールサーバーを使用します。それらのセキュリティポリシーでは、強制TLSを使用する必要があります。これは最近まで正常に機能していました。 現在、Exchangeがメールをクライアントのサーバーに配信しようとすると、次のログが記録されます。 ourclient.comのトランスポート層セキュリティ（TLS）証明書の検証がステータス「UntrustedRoot」で失敗したため、コネクタ「デフォルトの外部メール」上のドメインセキュアドメイン「ourclient.com」へのセキュア接続を確立できませんでした。ourclient.comの管理者に連絡して問題を解決するか、ドメインセキュアリストからドメインを削除してください。 ourclient.comをTLSSendDomainSecureListから削除すると、日和見TLSを使用してメッセージが正常に配信されますが、これはせいぜい一時的な回避策です。 クライアントは、非常に大規模でセキュリティに敏感な国際企業です。弊社のIT担当者は、TLS証明書の変更を認識していないと主張しています。検証エラーをトラブルシューティングできるように、証明書を生成した機関を特定するように繰り返し求めましたが、これまでのところ、彼は答えを提供できませんでした。私が知っている限りでは、クライアントは有効なTLS証明書を社内の認証局からのものに置き換えることができました。 WebブラウザでリモートHTTPSサーバーの証明書に対してできるように、リモートSMTPサーバーのTLS証明書を手動で検査する方法を知っている人はいますか？誰が証明書を発行したかを判断し、その情報をExchangeサーバー上の信頼されたルート証明書のリストと比較すると非常に役立ちます。

63 windows-server-2008  security  exchange-2007  certificate  tls 

クレジットカードプロセッサは最近、2016年6月30日現在、PCI準拠を維持するためにTLS 1.0を無効にする必要があることを通知しました。Windows Server 2008 R2マシンでTLS 1.0を無効にすることで予防的にしようとしましたが、リブート直後にリモートデスクトッププロトコル（RDP）を介して完全に接続できなかったことがわかりました。調査の結果、RDPはTLS 1.0のみをサポートしているようです（こちらまたはこちらをご覧ください）。少なくとも、RDP over TLS 1.1またはTLS 1.2を有効にする方法は明確ではありません。RDPを壊さずにWindows Server 2008 R2でTLS 1.0を無効にする方法を知っている人はいますか？MicrosoftはRDP over TLS 1.1またはTLS 1.2のサポートを計画していますか？ 注：RDPセキュリティレイヤーを使用するようにサーバーを構成することでそれを行う方法があるように見えますが、ネットワークレベル認証を無効にします。 更新1：マイクロソフトは現在、この問題に対処しています。関連するサーバーの更新については、以下の回答を参照してください。 更新2：Microsoftは、PCI DSS 3.1のSQL Serverサポートに関するチュートリアルをリリースしました。

48 windows-server-2008-r2  ssl  rdp  tls  pci-dss 

HTTPSはTCPまたはUDPを使用しますか？

40 ssl  https  tcp  udp  tls 

これは、この概要の質問が行われた後の技術的な詳細です。 SSLとTLSのプロトコルの違いは何ですか？ 名前の変更を正当化するのに本当に十分な違いがありますか？（TLSの新しいバージョンでは「SSLv4」またはSSLv5と呼びます）

40 security  ssl  tunneling  tls  protocol 

メールを送受信するときに、可能であればTLSを使用するように現在設定されているメールサーバーを実行しています。 これについてのドキュメントを読むとき、TLSを実施し、電子メールのプレーンテキスト送信を受け入れないオプションもあります。また、一部のメールサーバーが暗号化をまだサポートしていない可能性があり、暗号化を強制するとこれらのサーバーがブロックされる可能性があることを警告します。 しかし、これはまだ考慮すべき問題ですか、暗号化を強制することはもう問題ではないと言うことは安全ですか？ おそらくこれをすでに行っている大手プロバイダーがいますか、または最近のベストプラクティスをどう思いますか？

36 encryption  tls  smtps 

TLSは本質的にSSLの新しいバージョンであり、一般に（通常はSTARTTLSコマンドを使用して）セキュアでない接続からセキュアな接続への移行をサポートすることを知っています。 私が理解していないのは、TLSがITプロフェッショナルにとって重要である理由と、なぜ選択するかを選択することです。TLSは本当に新しいバージョンですか、もしそうなら互換性のあるプロトコルですか？ ITプロフェッショナルとして：いつどちらを使用しますか？どちらを使用しないのですか？

31 security  ssl  tls 

私はdebian 6サーバーでispconfig3をセットアップしましたが、これはSSL経由の小さなsmtpです： サーバーは後置です AUTH PLAIN (LOL!) 235 2.7.0 Authentication successful MAIL FROM: lol@lol.com 250 2.1.0 Ok RCPT TO: lol@lol.com RENEGOTIATING depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify error:num=18:self signed certificate verify return:1 depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com verify return:1 DATA 554 5.5.1 Error: no valid recipients しかし、問題は、ポート25でバニラtelnetを実行すれば、狂人のように認証してメールを送信できるということです。（「mail.appはsslを処理できません！」とは対照的に）

28 debian  ssl  postfix  smtp  tls 

logstashフォワーダーをセットアップしようとしていますが、適切なセキュアチャネルを作成する際に問題があります。virtualboxで実行されている2台のubuntu（サーバー14.04）マシンでこれを設定しようとしています。それらは100％クリーンです（hostsファイルに触れたり、logstashに必要なjava、ngix、elastisearchなど以外のパッケージをインストールしたりしません） これはlogstashの問題ではないと思いますが、証明書の不適切な処理や、logstash ubuntuまたはフォワーダーマシンで正しく設定されていないものです。 キーを生成しました： sudo openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt logstashサーバーでの私の入力conf： input { lumberjack { port => 5000 type => "logs" ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt" ssl_key => "/etc/pki/tls/private/logstash-forwarder.key" } } キーは、次の構成を持つforwarder hostにコピーされました。 { "network": { "servers": [ "192.168.2.107:5000" ], "timeout": 15, "ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt" "ssl …

28 ubuntu  ssl  ssl-certificate  tls  logstash 

TLS 1.1および1.2を使用するWebブラウザーをサポートしたいと考えています。TLS1.1および1.2は、明らかにMicrosoftによって実装されていますが、デフォルトではオフになっています。 それで、私はグーグルで検索に行って、誰もがフォローしているように見えるいくつかのページを発見した： http://support.microsoft.com/kb/245030 https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html しかしながら！それは私のために働いていないようです。DisabledByDefaultのDWORD値とTLS 1.1および1.2のEnabledの両方を設定しました。クライアントがTLS 1.2と通信しようとしていることは確認できますが、サーバーは1.0でのみ応答します。IISを再起動しましたが、状況は変わりませんでした。 Microsoftは、「警告：Protocolsキーの下のレジストリキーのDisabledByDefault値は、Schannel資格情報のデータを含むSCHANNEL_CRED構造体で定義されているgrbitEnabledProtocols値より優先されません。」 まあ、それは私には非常にあいまいです。SCHANNEL_CREDが定義または設定されている場所はどこにもありません。Microsoftライブラリで定義された構造であると判断できるのはすべてです。これがなぜ機能しないのかについての唯一の推測ですが、それが本当の問題であるかどうかを判断するのに十分な情報を見つけることができません。

26 windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 

コンピューターセキュリティとインターネットプログラミングに関する2つの大学のコースを受講しました。先日、これについて考えていました。 Webキャッシュプロキシサーバーは、Web上のサーバーから人気のあるコンテンツをキャッシュします。これは、たとえば、社内で1 Gbpsネットワーク接続（Webキャッシュプロキシサーバーを含む）があり、インターネットへの接続が100 Mbpsのみの場合に便利です。Webキャッシュプロキシサーバーは、ローカルネットワーク上の他のコンピューターにキャッシュされたコンテンツをはるかに迅速に提供できます。 次に、TLS暗号化接続を検討します。暗号化されたコンテンツを何らかの便利な方法でキャッシュできますか？letsencrypt.orgは、すべてのインターネットトラフィックをデフォルトでSSLで暗号化することを目的とした素晴らしい取り組みを行っています。サイトのSSL証明書を本当に簡単に、自動で、無料で取得できるようにすることで、これを行っています（2015年夏から）。SSL証明書の現在の年間コストを考えると、FREEは本当に魅力的です。 私の質問は、HTTPSトラフィックが最終的にWebキャッシュプロキシサーバーを廃止するかどうかです。もしそうなら、これは世界的なインターネットトラフィックの負荷にどれくらいの費用がかかりますか？

25 proxy  https  cache  tls 

私の目標は、nginxに接続するクライアントに適切なセキュリティを確保することです。私はnginxインストールでTLSを適切に設定するためにMozillaのガイドに従いますが、実際に使用されている実際のプロトコル/暗号スイートの概要はありません。 私が今持っているもの： server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } これにより、接続に使用されたSSLプロトコルと、クライアント/サーバーのネゴシエート後に選択された暗号スイートをログに記録したいと思います。例えば： 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" に 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …

24 nginx  security  logging  tls  ssl 

サイトのリバースプロキシとして機能するNGINXがあり、非常にうまく機能しています。サイトの必要性のSSLは、私が続くことraymii.orgを SSLLabsの強いが、可能な限りスコアとして持っていることを確認します。サイトの1つはPCI DSSに準拠する必要がありますが、TLS 1.0が有効になっているため、最新のTrustWaveスキャンに基づいて失敗しています。 私が持っているnginx.confのhttpレベルで： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 特定のサーバーについて： ssl_protocols TLSv1.1 TLSv1.2; 私は暗号を変更し、httpレベルから各sslサイトサーバーに物事を移動しましたが、実行するときは何に関係なく： openssl s_client -connect www.example.com:443 -tls1 TLS 1.0の有効な接続を取得します。SSLLabsはサイトのnginxセットアップをAとして設定しますが、TLS 1.0を使用するため、残りのセットアップは正しいと考えています。TLS1.0はオフになりません。 私が行方不明になる可能性についての考え？ openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0

22 nginx  tls  pci-dss 

ここで説明するように、現在、OpenLDAPはldapmodify cn = configで設定する必要があります。しかし、TLSトラフィックのみを受け入れるように設定する方法は見つかりません。サーバーが暗号化されていないトラフィックを受け入れることを確認しました（ldapsearchとtcpdumpを使用）。 通常、IPテーブルを使用して非SSLポートを閉じるだけですが、SSLポートの使用は推奨されないため、そのオプションはありません。 したがって、次のようなSSL構成コマンドを使用します。 dn: cn=config changetype:modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/bla.key - replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/bla.crt - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/ca.pem TLSを強制するためのパラメーターはありますか？ 編集：olcTLSCipherSuiteを試してみましたが、機能しません。デバッグ出力： TLS: could not set cipher list TLSv1+RSA:!NULL. main: TLS init def ctx failed: -1 slapd destroy: freeing system resources. slapd stopped. connections_destroy: nothing to destroy. …

16 ldap  openldap  tls 

バックグラウンド Comodoには楕円曲線ルート（「COMODO ECC証明機関」）があることがわかりましたが、WebサイトにEC証明書の記載がありません。 Certicomには、他の発行者がEC証明書を提供することを妨げる知的財産権がありますか？広く使用されているブラウザはECCをサポートできませんか？ECCは、Webサーバー認証のような従来のPKIの使用には不適切ですか？それとも、それに対する需要がないだけですか？ NSA Suite Bの推奨事項のため、楕円曲線に切り替えることに興味があります。しかし、多くのアプリケーションでは実用的ではありません。 バウンティ基準 賞金を請求​​するには、答えは、提供するECC証明書オプション、価格、および購入方法を説明する、有名なCAのWebサイトのページへのリンクを提供する必要があります。この文脈で、「既知」とは、Firefox 3.5およびIE 8にデフォルトで適切なルート証明書を含める必要があることを意味します。複数の適格な回答が提供される場合（希望があります！）、ユビキタスCAから最も安価な証明書を持つもの賞金を獲得します。それでも関係が解消されない場合（まだ期待している！）、私は自由裁量で答えを選択する必要があります。 誰かが常に賞金の少なくとも半分を主張することを忘れないでください。だからあなたがすべての答えを持っていなくても、それを試してみてください。

16 ssl  ssl-certificate  certificate  tls