标签: ssl

在BEAST 攻击和Heartbleed 漏洞之后，现在我听说了 SSL/TLS 中一个名为POODLE的新漏洞。我如何保护自己免受剥削？

• 只有服务器或客户端会受到影响吗？
• 这是 OpenSSL/GnuTLS 特定的吗？
• 哪些服务受到影响？只有 HTTPS 还是 IMAPS、SMTPS、OpenVPN 等？

请向我展示如何避免此漏洞的示例。

现在我安装了 ubuntu 12.04.3 服务器，我想通过 ssh 访问它。出于这个原因，我创建了一个我移动到的私钥

/etc/ssl/private/

我只是想知道为什么那里已经有了私钥ssl-cert-snakeoil.key。这个私钥在哪里使用，我可以删除它吗？

我已经在我的网络服务器上设置了 SSL，现在我需要两个文件：

• 证书
• 证书密钥

如何创建用于测试目的的自签名证书？

我想问一下是否有办法在 Ubuntu 20.04 上将 SSL 安全级别降低到 1，因为我收到：

141A318A:SSL routines:tls_process_ske_dhe:dh key too small

尝试卷曲网站时。

如果我添加--ciphers 'DEFAULT:!DH'参数，Curl 就可以工作，但是，我无法通过我用 C# 编写的客户端应用程序获取网站。该网站在通过浏览器打开时也能正常工作。

根据bugs.launchpad.net，Ubuntu 团队故意设置了更高的 SSL 安全级别。

在几个地方，我遇到了一个信息，更改CipherString = DEFAULT@SECLEVEL=2为1inopenssl.cnf帮助，但我的配置文件根本没有这样的行并且添加它没有任何效果。

我不控制网站服务器，因此我无法更改其安全配置。

有任何想法吗？安装一些旧的 openSSL 包会有帮助吗？

提前致谢

编辑：至于对我的配置文件的更改，我在最后添加了以下内容：

system_default = system_default_sect 

[system_default_sect] 
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=1 

输出openssl version -a：

OpenSSL 1.1.1f 31 Mar 2020 built on: Mon Apr 20 11:53:50 2020 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc …

使用命令行网站下载器，例如wget，curl或任何其他...在脚本中...

我有一个网站的 SHA-1 和 SHA-256 证书指纹。由于安全问题 ( 1 ) ( 2 )，我不想使用公共 SSL 证书颁发机构系统。指纹必须是硬编码的。

wget 之类的应用程序可以检查 SSL 指纹吗？

wget 没有这样的功能。( 3 )

使用wget --ca-certificate或curl --cacert我将不得不运行我自己的本地证书颁发机构，我想阻止这种情况，因为这会增加很多复杂性。这也是非常困难的，以前没有人这样做过。( 4 )

没有任何工具，例如
download --tlsv1 --serial-number xx:yy:zz --fingerprint xxyyzz https://site.com？

解决方案当然不能受到 TOCTOU 的攻击。( 5 )MITM可以让openssl客户端请求返回有效指纹并篡改以下wget请求。

我有一个用 Python 编写的小应用程序，它曾经可以工作……直到昨天，它突然开始在 HTTPS 连接中给我一个错误。我不记得是否有更新，但 Python 2.7.3rc2 和 Python 3.2 都失败了。

我用谷歌搜索了一下，发现当人们在代理后面时会发生这种情况，但我不是（自上次工作以来，我的网络没有任何变化）。我的系统运行 Windows 和 Python 2.7.2 的计算机没有问题（在同一网络中）。

>>> url = 'https://www.mediafire.com/api/user/get_session_token.php'
>>> response = urllib2.urlopen(url).read()
  File "/usr/lib/python2.7/urllib2.py", line 126, in urlopen
    return _opener.open(url, data, timeout)
  File "/usr/lib/python2.7/urllib2.py", line 400, in open
    response = self._open(req, data)
  File "/usr/lib/python2.7/urllib2.py", line 418, in _open
    '_open', req)
  File "/usr/lib/python2.7/urllib2.py", line 378, in _call_chain
    result = func(*args)
  File "/usr/lib/python2.7/urllib2.py", line 1215, in https_open
    return self.do_open(httplib.HTTPSConnection, req)
  File "/usr/lib/python2.7/urllib2.py", line 1177, in do_open
    raise URLError(err)
urllib2.URLError: …

我正在运行 Ubuntu Server 12.04，我想启用与 MySQL 的 SSL 连接。

我使用 OpenSSL 生成了以下密钥/证书文件：

• ca-cert.pem
• 服务器-cert.pem
• 服务器密钥.pem

我将这些存储在/etc/mysql，然后添加以下行到/etc/mysql/my.cnf：

ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

接下来，我用sudo service restart mysql.

但是，这似乎并没有启用 SSL。在 mysql 会话中：

mysql> show variables like '%ssl%';
+---------------+----------------------------+
| Variable_name | Value                      |
+---------------+----------------------------+
| have_openssl  | DISABLED                   |
| have_ssl      | DISABLED                   |
| ssl_ca        | /etc/mysql/ca-cert.pem     |
| ssl_capath    |                            |
| ssl_cert      | /etc/mysql/server-cert.pem |
| ssl_cipher    |                            |
| ssl_key       | /etc/mysql/server-key.pem  |
+---------------+----------------------------+

任何想法我错过了什么？谢谢

我在 Pidgin 2.10.10-3.fc20 (libpurple 2.10.10) 上收到以下错误。

如何强制它接受无效证书？

（根据这个错误报告，它应该是有能力的）。

这是我所做的：

• 在 Firefox 上访问了域，并导出了证书
• 在 Pidgin工具上导入证书->证书
• 在seahorse（gnome 密钥环 GUI）上导入证书

我正在使用 OpenSSL 和 C++ 在 Ubuntu 上编写 SOAP 客户端应用程序。即使我知道有一个有效的证书，我也无法让我的代码验证服务器证书。

只是为了确保我想检查是否是这种情况，并且显然 PEM 文件用于列出有效证书。

谁能告诉我这些文件在我的 Ubuntu 12.04 安装中的位置？我的机器上安装了 ca-certificates 包，所以这些文件一定在某个地方吗？

跑sudo apt-get update在我的AWS EC2 Ubuntu的LTS 01年4月18日实例失败，因为我的证书验证失败：证书不被信任。尝试访问deb.nodesource.com/node_10.x 仿生版本时，证书颁发者未知

Hit:1 http://us-east-1.ec2.archive.ubuntu.com/ubuntu bionic InRelease
Get:2 http://us-east-1.ec2.archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
Ign:3 https://deb.nodesource.com/node_10.x bionic InRelease
Get:4 http://us-east-1.ec2.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
Err:5 https://deb.nodesource.com/node_10.x bionic Release
  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown.  Could not handshake: Error in the certificate verification. [IP: XX.XXX.XX.XX 443]
Get:6 http://security.ubuntu.com/ubuntu bionic-security InRelease [83.2 kB]
Reading package lists... Done
W: https://deb.nodesource.com/node_10.x/dists/bionic/InRelease: No system …