那些遇到过的问题

安全协议可以容忍多少时钟异步?

Geo*_*voy 5 ssl time ssl-certificate

我注意到如果服务器上的时间不同步,则与安全服务器的连接会重置。

我相信时间同步协议可以精确到与外部时间服务器的网络延迟顺序一样,可能高达几百毫秒。

TLS 连接和证书验证的时间精度要求是什么?

小智 4

根据 EEAA 的评论,我曾多次听到 5 分钟的说法,但老实说,我不知道为什么(并且期待得到解释)。

请记住,根据文档,这并不是 TLS 协议本身有此精度要求:

基本 TLS 协议不需要正确设置时钟;更高级别或应用程序协议可能会定义额外的要求。

  • AFAIK 5 分钟增量 @EEAA 提到发现它起源于 [MIT Kerberos 规范](http://web.mit.edu/Kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Clock-Skew .html) *“为了防止入侵者重置其系统时钟以继续使用过期的票证,Kerberos V5 设置为拒绝来自时钟不在 KDC 指定的最大时钟偏差内的任何主机的票证请求” * (5认同)
  • 另外,Windows Technet https://technet.microsoft.com/en-us/library/jj852172(v=ws.11).aspx 5 分钟是默认且可配置的。 (3认同)
  • 在 [https://blog.cloudflare.com/roughtime/](https://blog.cloudflare.com/roughtime/) 的一篇博文中,建议 **10 秒** 足够准确:*但对于许多应用程序来说,精确的网络时间并不重要;只要准确就足够了,比如实时 10 秒内* (2认同)

归档时间:

查看次数:

5822 次

最近记录:

8 年,8 月 前
相关归档
如何将“dmesg”时间格式转换为“实时”时间格式 49
如何将 ntp 服务器的时间与我的服务器的时间进行比较? 33
我应该为 dhparam.pem 设置哪些权限? 25
在 Windows 10 上删除易受攻击的密码会破坏传出的 RDP 17
SSL 不适用于 Windows 上的 Apache 15
如何比较两个 SSL 证书? 7
哪些浏览器和操作系统支持基于 ECC 的 SSL 证书? 6
通配符 ssl 不安全吗? 3
SSL 证书上下文中的“请求”是什么,我如何获得一个? 2
可以跨平台重复使用 SSL 证书吗? 2
难疑归档
如何将 MySQL 服务器绑定到多个 IP 地址? 295
我应该打开什么端口以允许远程桌面? 139
发送到 *@example.com 的电子邮件会去哪里? 105
在 PowerShell 脚本中,如何检查我是否以管理员权限运行? 93
潮湿的服务器机房地板有多危险 77
在 Linux 上运行的 Exchange 服务器替换 69
防止 Windows Server 2012 在更新后强制重启 66
Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法? 65
如何从我的桌面通过远程服务器上的 ssh 命令启动屏幕会话? 63
什么是 SPF 记录,如何配置它们? 54