我在 CentOS 5.9 上。
我想从 linux shell 确定远程 Web 服务器是否专门支持 TLS 1.2(而不是 TLS 1.0)。有没有简单的方法来检查?
我没有看到相关选项,openssl但也许我忽略了一些东西。
我们有一台运行在 Windows Server 2008 上的 Exchange 2007 服务器。我们的客户端使用另一个供应商的邮件服务器。他们的安全政策要求我们使用强制 TLS。直到最近,这都运行良好。
现在,当 Exchange 尝试将邮件传送到客户端的服务器时,它会记录以下内容:
无法在连接器“默认外部邮件”上建立到域安全域“ourclient.com”的安全连接,因为对 ourclient.com 的传输层安全性 (TLS) 证书的验证失败,状态为“UntrustedRoot”。联系 ourclient.com 的管理员解决问题,或从域安全列表中删除域。
从 TLSSendDomainSecureList 中删除 ourclient.com 会导致使用机会性 TLS 成功传递消息,但这充其量只是一种临时解决方法。
客户是一家非常大的、对安全敏感的国际公司。我们的 IT 联系人声称不知道他们的 TLS 证书有任何变化。我曾多次要求他确定生成证书的机构,以便我对验证错误进行故障排除,但到目前为止他一直无法提供答案。据我所知,我们的客户可以用来自内部证书颁发机构的证书替换他们的有效 TLS 证书。
有谁知道手动检查远程 SMTP 服务器的 TLS 证书的方法,就像在 Web 浏览器中检查远程 HTTPS 服务器的证书一样?确定谁颁发了证书并将该信息与我们的 Exchange 服务器上的受信任根证书列表进行比较可能会非常有帮助。
我们的信用卡处理商最近通知我们,自 2016 年 6 月 30 日起,我们将需要禁用 TLS 1.0 以保持 PCI 合规性。我试图通过在我们的 Windows Server 2008 R2 机器上禁用 TLS 1.0 来主动,只是在重新启动后立即发现我完全无法通过远程桌面协议 (RDP) 连接到它。经过一些研究,RDP 似乎只支持 TLS 1.0(请参阅此处或此处),或者至少不清楚如何通过 TLS 1.1 或 TLS 1.2 启用 RDP。有人知道在不破坏 RDP 的情况下在 Windows Server 2008 R2 上禁用 TLS 1.0 的方法吗?Microsoft 是否计划支持基于 TLS 1.1 或 TLS 1.2 的 RDP?
注意:似乎有一种方法可以通过将服务器配置为使用 RDP 安全层来实现,但这会禁用网络级身份验证,这似乎是一种恶作剧。
更新 1:微软现在已经解决了这个问题。有关相关服务器更新,请参阅下面的答案。
更新 2:Microsoft 发布了有关SQL Server 支持 PCI DSS 3.1 …
我正在尝试设置 logstash 转发器,但是我在创建适当的安全通道时遇到了问题。尝试使用在 virtualbox 中运行的两台 ubuntu(服务器 14.04)机器进行配置。它们是 100% 干净的(未触及主机文件或安装除所需的 java、ngix、elasticsearch 等以外的任何其他软件包,用于 Logstash)
我不相信这是一个 logstash 问题,而是证书处理不当或在 logstash ubuntu 或转发器机器上设置不正确的东西。
我生成了密钥:
sudo openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt
我在logstash服务器上的输入conf:
input {
lumberjack {
port => 5000
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}
密钥被复制到转发器主机,它具有以下配置。
{
"network": {
"servers": [ "192.168.2.107:5000" ],
"timeout": 15,
"ssl ca": "/etc/pki/tls/certs/logstash-forwarder.crt"
"ssl key": "/etc/pki/tls/certs/logstash-forwarder.key"
},
"files": [
{
"paths": [
"/var/log/syslog",
"/var/log/auth.log"
],
"fields": { "type": …这是在提出此概述问题后的技术深入探讨。
SSL 和 TLS 之间的协议区别是什么?
真的有足够的差异来保证更名吗?(相对于较新版本的 TLS,将其称为“SSLv4”或 SSLv5)
我正在运行一个电子邮件服务器,该服务器当前设置为在发送和接收电子邮件时尽可能使用 TLS。
当您阅读有关此的文档时,还可以选择强制执行 TLS 并且不接受电子邮件的纯文本传输。它还警告您某些邮件服务器可能尚不支持加密,并且强制加密可能会阻止这些服务器。
但这仍然是一个应该考虑的问题,还是可以说强制加密不再是问题?
是否可能有一些大型供应商已经在做这件事,或者你认为现在最好的做法是什么?
我已经在我的 debian 6 服务器上设置了 ispconfig3,这里有一个通过 ssl 的 smtp:
服务器是后缀
AUTH PLAIN (LOL!)
235 2.7.0 Authentication successful
MAIL FROM: lol@lol.com
250 2.1.0 Ok
RCPT TO: lol@lol.com
RENEGOTIATING
depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/emailAddress=postmaster@lol.com
verify return:1
DATA
554 5.5.1 Error: no valid recipients
但是,问题是,如果我只是通过端口 25 执行 vanilla telnet,我可以像疯子一样进行身份验证和发送邮件......希望这是足够的信息!(与“mail.app 无法处理 ssl!”相反)
我知道 TLS 本质上是 SSL 的更新版本,并且它通常支持将连接从不安全转换为安全(通常通过 STARTTLS 命令)。
我不明白的是为什么 TLS 对 IT 专业人员很重要,为什么我会选择一个而不是另一个。TLS 真的只是一个较新的版本,如果是,它是否是兼容的协议?
作为 IT 专业人员:我什么时候使用哪个?我什么时候不使用哪个?
我刚修了两门关于计算机安全和互联网编程的大学课程。前几天我在想这个:
网络缓存代理服务器缓存来自网络服务器的流行内容。这很有用,例如,如果您的公司内部有 1 Gbps 网络连接(包括 Web 缓存代理服务器),但只有 100 Mbps 的 Internet 连接。Web 缓存代理服务器可以更快地为本地网络上的其他计算机提供缓存内容。
现在考虑 TLS 加密连接。可以以任何有用的方式缓存加密的内容吗?来自letsencrypt.org 的一项伟大举措旨在默认通过 SSL 加密所有互联网流量。他们通过让为您的网站获取 SSL 证书变得非常简单、自动化和免费(从 2015 年夏季开始)来实现这一目标。考虑到 SSL 证书的当前年度成本,免费真的很有吸引力。
我的问题是:HTTPS 流量最终会使 Web 缓存代理服务器过时吗?如果是这样,这将对全球互联网流量的负载造成什么影响?