在 TCP 连接上使用 SSL 是否有任何带宽开销?我当然理解加密和解密数据包的处理/内存使用开销,但就带宽而言,有什么区别,如果有的话?
例如,给定一个 64KB 的 XML 文件,通过 HTTP 和 HTTPS 传输的文件大小是否有明显差异?(忽略mod_deflate和mod_gzip,当然)
到目前为止,我使用的是自签名证书,但决定至少考虑获得“真正的”证书。
到目前为止,我注意到证书的内部格式有点不同,即:
我可以从 thawte 或类似的公司获得任何“网络”证书,并从这个(和密钥文件)生成我需要的 nginx、exim4 和 courier 的所有格式,或者我是否需要获得单独的证书,或者是什么?否则完全?
我试图让我的 Apache 对 HTTPS 请求使用外部代理:
Listen 80
Listen 443
..
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
..
SSLProxyEngine On
SSLProxyVerify none
SSLCACertificateFile conf/cert/curl-ca-bundle.cert
ProxyRemote http://*.externaldomain.com:80 http://external.proxy.com:8585
ProxyRemote http://*.externaldomain.com:443 https://external.proxy.com:8585
ProxyPass /sub https://sub.externaldomain.com/
但是对http://localhost/sub/something 的请求 返回 503 并给出:
[Fri Apr 15 17:38:15 2011] [error] (OS 10060)A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond. : proxy: HTTPS: attempt to connect …有没有人对有多少互联网用户使用支持 SNI(服务器名称指示)SSL/TLS 证书的浏览器/操作系统组合进行过任何分析(或知道我在哪里可以找到一些!)?
例如,我知道 XP 上的 IE 不支持这一点,而旧版本的 OSX 也不支持。
我知道没有“典型”用户这样的东西,每个站点都有不同的配置文件,但我正在寻找某种数量级的视图来了解这些配置如今的普遍程度,以帮助决策过程我正在寻找部署的新站点。
如果您确实提供了具体的数字或分析参考,您是否也可以将日期添加到您的答案中?只是为了让将来看这个问题的其他人知道该信息何时是最新的,因为我预计它会随着时间的推移而改变......
我有 Apache 服务器的问题。最初的 SSL 握手大约需要 5-7 秒,这太可怕了。之后响应时间以毫秒为单位 - 但消息必须在第一个之后立即发送,否则握手将在几秒钟不活动后再次完成。有没有办法通过Apache配置来加速它?
我们在 slicehost.com 上的 Ubuntu 2GB 切片上运行 Tomcat 6
JSP 应用程序 fwiw 是 Open Clinica 3.1 我在书中几乎实现了 SSL,如您所见:
<Connector port="8443"
scheme="https" SSLEnabled="true"
keystorePass="XXXXX" keystoreFile="XXXXX"
maxKeepAliveRequests="0"
sessionCacheSize="0" sessionTimeout="0" compression="on" maxThreads="500"
clientAuth="false" sslProtocol="TLS" />
问题在于 Open Clinica Java 应用程序执行大量 HTTP 请求来构建页面 - 使用 Chrome 开发人员工具,我可以看到对典型页面的 70-80 个请求。
当您为每个请求添加 SSL 握手时,额外的网络延迟只会缩短应用程序响应时间。FWIW - 客户端用户位于以色列、欧洲和美国 - 因此在用户旁边运行本地服务器的选项实际上并不可行。我知道由于 slicehose 在美国 - 到以色列的网络延迟很差,但我觉得由于服务器的 HTTP 性能可以接受到好的 - 我们应该能够做得更好。
为了尽量减少 ssl 握手 - 我定义了无限制的 sessionCacheSize 和 SessionTimeout,如上面的连接器定义所示
但是,当我在客户端运行 ssldump 时,我仍然看到很多握手正在进行,这似乎表明 Tomcat 实际上忽略了这些参数
服务器没有压力 - 有 5 个同时使用的用户,大约有 100MB 的可用内存,几乎没有交换。
我正在配置 Nginx 服务器,以便作为反向代理为 Django 应用程序(在 Gunicorn 上运行)提供服务。
我的问题是我希望我的网站使用 HTTPS 进行保护,因此我希望我的 Django 应用程序能够确定连接是否安全。我使用的是 Django 1.4,所以我可以访问SECURE_PROXY_SSL_HEADER我配置为SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTOCOL', 'https').
现在,正如文档中提到的,我需要确保 Nginx 仅在需要时添加标头,而在不需要时将其剥离。因为我希望我的 Nginx 配置尽可能 DRY,所以我不想有两个配置文件(一个用于端口 80,一个用于端口 443)。
因此,我想知道 Nginx 中是否有一种方法可以确定连接是否为 https,并相应地添加(或剥离)标头。
我在 RHEL 5 上运行了 389 Directory Server,其中包含组、用户、posix 等。RHEL 客户端正在使用 LDAP 对用户进行身份验证 - 没问题,一切正常,但密码以纯文本形式发送,并且可以通过网络嗅探器看到。因此,决定使用 SSL 运行:
不起作用。
如何?安全集成的最佳方法是什么?
所以,我正在与一位朋友讨论 SaaS 网站和 SSL 证书,我们都无法解释电子商务或任何允许客户拥有自己的域的服务如何拥有启用 SSL 的服务。
我搜索过 UCC 和 Wildcard Certificates ,但似乎都不符合需求,因为在 UC 证书的情况下,您需要有一个已经创建的域列表(在 SaaS 模型中不是这种情况)并且在在通配符证书的情况下,您必须将每个客户端设为子域,并且许多服务提供使用您自己的域的选项。
那么 SaaS 服务如何为拥有“个性化”域的人提供 SSL?
我们在 Java spring 框架上设置了一个 Web 门户。它运行在 tomcat 应用服务器上。Portal 是通过 apache 网络服务器通过 JK 连接器连接到 tomcat 的。整个门户都使用 Apache 的 443 端口启用了 HTTPS。Apache 版本是:Apache/2.4.2 (Unix)。它是 apache 网络服务器的最新稳定版本。
每当我们尝试将超过 128 KB 的文件上传到门户时,我们都会面临 413 错误:
Request Entity Too Large The requested resource /teamleadchoachingtracking/doFileUpload does not allow request data with POST requests, or the amount of data provided in the request exceeds the capacity limit.
在 apache 错误日志中,我们收到以下错误:
AH02018: request body exceeds maximum size (131072) for SSL buffer
AH02257: could not buffer message body to allow …