タグ付けされた質問 「tls」

通常、Internet Explorerはまったく使用しません。インターフェイステスト（開発マシンおよび暗号化されていないHTTP）の設計時にのみ使用します。毎週、IE11がサイトにアクセスできるというSSL Labsサーバーテストを実行しています。 今日、サードパーティのサービスの1つで問題を発見しました。一部の特別な機能がChromeまたはFirefoxで動作しないため、Windows 7マシンでIE11を起動しました。IE11には、基本的に「ページを表示できませんでした」とだけ表示される組み込みのエラーページが表示されます。そして、DNSなどをチェックするような典型的なダミーのbla bla。エラーページ全体に暗号化関連の問題の兆候はまったくありませんでした（通常のブラウザーが行うように）。 数か月前にこのschannel問題が発生し、TLS1.2対応IEがHTTPSサイトにアクセスできなくなりました。その時点から、「IEのWTFチェックリスト」にはチェックポイントとして「TLS1.2を無効にする」が含まれています。そして、私は何を言うべきですか... IE内でTLS1.2を無効にすると機能し、私のサイトが再び利用可能になります。しかし、私は訪問者のブラウザでこれを行うことはできません。 さて、本当の質問：なぜIE 1.2でTLS 1.2が有効になっているのにInternet Explorer 11がHTTPSサイトに接続できないのですか？そして、サーバー側でそれを修正する方法は？SSL Labsは、私のサイトですべてがうまくいっていると言っています。 重要な編集： IE11は、TLS1.2が有効になっている場合、プレフィックスなしのドメインではなく、プレフィックスなしのドメインのみを処理できるようです。プレフィックスなしのドメイン（www）は機能しますが、プレフィックスを含むドメイン（www）は機能しません。 サーバー側では、debian / 7 nginx / 1.7.8 openssl / 1.0.1eを使用しています 利用可能な暗号は次のとおりです。 ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

15 nginx  ssl  openssl  internet-explorer  tls 

奇妙な問題があります。LAMP開発マシン（Debian）をPHP 7に更新しました。その後、Curlを介して特定のTLS暗号化APIに接続できなくなりました。 問題のSSL証明書はthawteによって署名されています。 curl https://example.com 私にくれます curl: (60) SSL certificate problem: unable to get local issuer certificate 一方、 curl https://thawte.com もちろん、これもThawte Worksによって署名されています。 他のマシン上のHTTPSを介してAPIサイトにアクセスできます。たとえば、curlを介したデスクトップやブラウザーなどです。したがって、証明書は間違いなく有効です。SSL Labsの評価はAです。 私の開発マシンから他のSSL暗号化サイトへの他のCurl要求はすべて機能します。私のルート証明書は最新です。確認するために、実行しましたupdate-ca-certificates。http://curl.haxx.se/ca/cacert.pemを/ etc / ssl / certsにダウンロードして実行しましたc_rehash。 それでも同じエラー。 検証プロセスをデバッグして、どのローカル発行者証明書curl（またはopenssl）が探しているが見つからないか、つまりファイル名を確認する方法はありますか？ 更新 curl -vs https://example.com 教えてくれます（IP +ドメイン匿名化） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * …

14 ssl  ssl-certificate  openssl  tls  curl 

TLSはSSLの「新しい」バージョンですか？どの機能を追加しますか、またはセキュリティの問題に対処しますか？ SSLをサポートするものはTLSをサポートできますか？切り替えには何が関係しますか？スイッチには価値がありますか？ なぜ「便宜的TLS」とVPNでしばしばSSL VPNと呼ばれる電子メールが送信されるのですか？技術に違いはありますか。おそらく「TLS VPN」製品ラインの余地がありますか？

13 vpn  ssl  ssl-certificate  tls 

Apache 2.2.22とmod_sslおよびOpenSSL v1.0.1を実行するUbuntu 12.04.2 LTSサーバーがあります。 私のvhosts構成（その中の他のすべてが期待どおりに動作する）には、のSSLProtocol行があり-all +SSLv3ます。 その構成では、TLS 1.1および1.2が有効になり、正しく機能します。これは、その構成では SSLv3 のみが有効になると予想されるため、直感に反します。 でTLSv1を有効/無効にできますが-/+TSLv1、期待どおりに機能します。しかし+/-TLSv1.1、+/-TLSv1.2有効な構成オプションではないため、そのように無効にすることはできません。 なぜこれをしたいのか-TLS対応サーバーでバグのある動作をしているサードパーティアプリケーション（私は制御できません）を扱っていますが、前進するには完全に無効にする必要があります。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

TLS圧縮に対するCRIME攻撃（CVE-2012-4929、CRIMEはssl＆tlsに対するBEAST攻撃の後継です）について読みましたが、Apacheに追加されたSSL圧縮を無効にすることでこの攻撃からWebサーバーを保護したいです2.2.22（バグ53219を参照）。 httpd-2.2.15に付属するScientific Linux 6.3を実行しています。httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 構成でSSLCompressionをオフにしようとしましたが、次のエラーメッセージが表示されます。 # /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting …

13 apache-2.2  security  tls  mod-ssl 

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld ldap_start_tls: Can't contact LDAP server (-1) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. # openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs <... successful tls negotiation stuff ...> Compression: 1 (zlib compression) Start Time: 1349994779 Timeout …

12 centos  openldap  openssl  tls 

背景：これを行う方法で見つけることができる唯一のことは、Windows 2008のRDPに関連しています。これには、管理ツールに「リモートデスクトップセッションホスト構成」と呼ばれるものがあるようです。これはWindows 2012には存在せず、MMC経由で追加する方法があるようです。RDS Host Configを使用して、2008年のここを読みました。 質問： それでは、Windows 2012では、TLS 1.0をオフにしながら、RDPをWindows 2012サーバーにするにはどうすればよいでしょうか？ 当初、私の理解では、Win2012 RDPではTLS 1.0のみがサポートされていました。ただし、PCIによるTLS 1.0は許可されなくなりました。この記事によると、これはWindowsサーバー2008r2で修正されたと思われます。ただし、これは、私が知っているRDPが使用するプロトコルに変更を加えるための管理GUI装置さえ持たないServer 2012には対応していません。

12 windows  windows-server-2012  rdp  tls 

問題： iOS 9がATSを使用するようになったため、モバイルアプリはWebサービスへの安全な接続を確立できなくなりました。 背景： iOS 9にはApp Transport Securityが導入されています サーバーのセットアップ： Windows Server 2008 R2 SP1（VM）IIS 7.5、digicertからのSSL証明書。Windowsファイアウォールがオフ。 キーRSA 2048ビット（e 65537） 発行者DigiCert SHA2セキュアサーバーCA 署名アルゴリズムSHA512withRSA App Transport Securityの要件は次のとおりです。 サーバーは、少なくともTransport Layer Security（TLS）プロトコルバージョン1.2をサポートする必要があります。接続暗号は、前方秘匿性を提供するものに限定されます（以下の暗号のリストを参照してください）。証明書は、2048ビット以上のRSAキーまたは256ビット以上のElliptic-Curveで、SHA256以上の署名ハッシュアルゴリズムを使用して署名する必要があります（ECC）キー。証明書が無効な場合、ハード障害が発生し、接続できなくなります。これらは受け入れられた暗号です： TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 試行されたもの： ドメインが機能するようにモバイルアプリに例外を追加しますが、このセキュリティで保護されていない方法を使用したくないので、SSLを修正します。 使用IIS暗号を「ベストプラクティス」を使用するには、「PCI」を試してみました、およびカスタムセットアップ。暗号スイートを上記のリストだけに変更して、並べ替えを試みました。各試行の後、サーバーが再起動され、SSL Labsが実行されました（キャッシュをクリアした後）。私はFからA、さらにはA-に移行することに成功しましたが、これはiOS 8と9が安全な接続を確立できないという結果に終わりました。（NSURLErrorDomain Code = -1200および_kCFStreamErrorCodeKey = -9806） VMを復元し、PowerShellスクリプトを試しましたSSL Perfect …

11 ssl  iis-7.5  tls  ios  safari 

RHEL4でApache 2.0を実行しているWebサーバーがあります。このサーバーは最近PCIスキャンに失敗しました。 理由：SSLv3.0 / TLSv1.0プロトコルの脆弱なCBCモードの脆弱性の解決策：この攻撃は、2004年およびそれ以降のTLSプロトコルの修正版で修正されています。可能であれば、TLSv1.1またはTLSv1.2にアップグレードします。TLSv1.1またはTLSv1.2にアップグレードできない場合、CBCモード暗号を無効にすると、脆弱性が削除されます。Apacheで次のSSL構成を使用すると、この脆弱性が緩和されます。SSLCipherSuite RC4-SHA：HIGH：！ADHのSSLHonorCipherOrder 簡単な修正、私は思った。Apache構成に行を追加しましたが、機能しませんでした。どうやら 「SSLHonorCipherOrder On」はApache 2.2以降でのみ動作します。私はApacheをアップグレードしようとしましたが、すぐに依存関係に陥りました。Apache2.2にアップグレードするにはOS全体をアップグレードする必要があるようです。数か月以内にこのサーバーを廃止するため、その価値はありません。 ソリューションは、「TLSv1.1またはTLSv1.2へのアップグレードが不可能な場合、CBCモード暗号を無効にすると脆弱性が削除されます」と述べています。 Apache 2.0でこれを行うにはどうすればよいですか？これも可能ですか？そうでない場合、他の回避策はありますか？

11 apache-2.2  ssl  tls 

https://de.ssl-tools.net/mailserversで postfixサーバーのセキュリティチェックを行ったところ、「ECDHE_RSA_WITH_RC4_128_SHA」がまだサポートされているという警告が表示されました。しかし、それを無効にする方法がわかりません...

11 postfix  tls 

https://help.ubuntu.com/lts/serverguide/openldap-server.htmlに従ってTLSを実装しようとしてい ます。このldifファイルでcn = configデータベースを変更しようとすると、次のようになります。 dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/test-ldap-server_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/test-ldap-server_key.pem 次のエラーが発生します。 ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (e.g., implementation specific) error (80) 何が悪いのですか？ 編集：単純な認証を使用しようとすると、次のエラーが発生しました： ldapmodify …

10 openldap  tls 

ビジネスパートナーの1人が、TLS SHA256証明書を使用してAPIに接続するように要求しています。これらのリクエストを生成する方法がわかりません。以前、opensslを使用してこれらのリクエストを作成しましたが、SHa1を使用してSSL証明書を生成しました。opensslを使用してこのリクエストを生成できますか？そうでない場合、どうすれば彼らが求めているものを生成できますか？ 私はこの分野の専門家ではないので、私が求めていることが理にかなっているかどうかさえわかりません。

10 tls  openssl 

LetsEncrypt証明書を30日ごとに更新するようにcronjobをセットアップするときに、公開キーピンをセットアップできますか？ 証明書が更新されると、公開キーピンも更新されますか？

10 ssl  ssl-certificate  tls  http-headers  public-key 

標準のPostfix、SpamAssassin、ClamAV、SPF / DKIMチェックなどで構成されるMTAを実行します。このMTAは受信メールのみに使用され、アカウントをホストせず、上記のチェックに合格したメールを共有ウェブホストに転送します。 サーバーにメールを配信しようとすると、いくつかのメールサービスがプレーンテキストの前にTLS接続を試行し始めていることを認識しています。 私はすべてのサービスがTLSをサポートするわけではないことを理解していますが、それがどれほどうまく採用されているので、OCDのセキュリティ面を私の脳で満たすことができるのかと思っています（そうです、SSLはかつて思っていたほど安全ではありません。 ...）。 Postfixのドキュメントのためsmtpd_tls_security_levelと述べているRFC 2487布告は全て公に参照（すなわちMX）メールサーバがTLSを強制しないこと。 RFC 2487によれば、これは公的に参照されているSMTPサーバーの場合には適用してはなりません（MUST NOT）。したがって、このオプションはデフォルトでオフになっています。 したがって、ドキュメント（または15歳のRFC）はどのように適用可能/関連していますか？また、世界のISPの半分をロックアウトせずに、すべての受信SMTP接続で安全にTLSを強制できますか？

10 security  email  postfix  tls 

mod_sslを使用するときにApache 2.2.xでSSL / TLS圧縮を無効にする方法はありますか？ そうでない場合、古いブラウザでのCRIME / BEASTの影響を軽減するために人々は何をしていますか？ 関連リンク： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl