我在我的 Debian VPS(一个 xen domU)上遇到了一个关于 SSL 的问题。也就是说,几乎所有的 SSL 连接都在客户端 hello 时挂起。例如:
# curl -vI https://graph.facebook.com
使用 openssl 客户端时也是如此。但是,某些 SSL 流量有效(例如https://www.nordea.se)。
服务器
#uname -a
Linux server.com 2.6.26-1-xen-amd64 #1 SMP Fri Mar 13 21:39:38 UTC 2009 x86_64 GNU/Linux
然而,它确实适用于我的 Dom 0(主要的 xen 主机)。
apt-get
我什至无法使用 debian 安全源运行 apt-get update(在读取标题时挂起)
打开 SSL
一开始我以为我有一个旧的 openssl 客户端(0.9.8o-4),因为我在 Dom 0(0.9.8g-15+lenny8)上似乎有一个更新的客户端,但是对 openssl deb …
我已经设置了一个 Postfix + Courier 服务器,并且有一个使用 SMTP 服务器设置配置的 Rails 应用程序。每当 Rails 应用程序尝试发送电子邮件时,这就是 Postfix 日志中显示的内容(在 master.cf 中设置的其他日志详细程度)
Feb 22 03:57:24 alpha postfix/smtpd[1601]: Anonymous TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 22 03:57:24 alpha postfix/smtpd[1601]: smtp_get: EOF
Feb 22 03:57:24 alpha postfix/smtpd[1601]: match_hostname: localhost ~? 127.0.0.0/8
Feb 22 03:57:24 alpha postfix/smtpd[1601]: match_hostaddr: 127.0.0.1 ~? 127.0.0.0/8
Feb 22 03:57:24 alpha postfix/smtpd[1601]: lost connection after STARTTLS from localhost[127.0.0.1]
Feb 22 03:57:24 alpha postfix/smtpd[1601]: disconnect from localhost[127.0.0.1]
Feb 22 03:57:24 alpha …在 TCP 连接上使用 SSL 是否有任何带宽开销?我当然理解加密和解密数据包的处理/内存使用开销,但就带宽而言,有什么区别,如果有的话?
例如,给定一个 64KB 的 XML 文件,通过 HTTP 和 HTTPS 传输的文件大小是否有明显差异?(忽略mod_deflate和mod_gzip,当然)
一位开发人员最近使用 TripWire 对我们的 LAMP 服务器运行了 PCI 扫描。他们确定了几个问题,并指示以下人员纠正这些问题:
问题:SSL 服务器支持 SSLv3、TLSv1、
解决方法:在httpd.conf中加入如下规则
SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
问题:SSL 服务器支持 SSLv3、TLSv1 的 CBC 密码
解决方案:禁用任何使用 CBC 密码的密码套件
问题:SSL 服务器支持 SSLv3、TLSv1 的弱 MAC 算法
解决方案:禁用任何使用基于 MD5 的 MAC 算法的密码套件
我尝试在 google 上搜索有关如何构建 SSLCipherSuite 指令以满足我的要求的综合教程,但没有找到任何我能理解的内容。我看到了 SSLCipherSuite 指令的示例,但我需要对该指令的每个组件的作用进行解释。所以即使在指令中SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM,我也不明白例如这!LOW意味着什么。
有人可以 a) 告诉我满足我需求的 SSLCipherSuite 指令,或者 b) 向我展示一个资源,该资源清楚地解释了 SSLCipherSuite 的每个部分以及如何构建一个?
是否可以在运行 IIS7 的 Windows Server 2008 SP2(不是 R2)上启用 TLS 1.1 和 1.2?
我试过更改注册表并使用 IIS Crypto 来启用它,但它似乎不起作用。
如果不可能,那么我如何减轻野兽的攻击?
我运行 Monit 来检查 Debian 服务器上的进程。它对所有其他服务(Apache SSL、Postfix、SSH 等)正常工作,但 Monit 对 Dovecot 的检查反复失败。我认为这可能是在安装一些软件包更新后开始的,但我不确定何时开始。
由于电子邮件仍在工作,Dovecot 为客户端连接正常工作。我已经尝试过使用 open_ssl s_client 进行测试,并且对于 SSLv3、TLS1.1 和 TLS1.2 似乎也很好。
/etc/monit/monitrc 中的 Dovecot 部分:
check process dovecot with pidfile /run/dovecot/master.pid
start program = "/usr/sbin/service dovecot start"
stop program = "/usr/sbin/service dovecot stop"
if failed port 993 type tcpssl sslauto protocol imap then unmonitor
当我启用对 Dovecot 的监控时,我在 /var/log/monit 中收到此消息:
'dovecot' failed protocol test [IMAP] at INET[localhost:993] via TCPSSL -- IMAP: error receiving data -- Success
我认为它可能是这样的https://secure.kitserve.org.uk/content/ssl-tls-version-conflict-zarafa-monit但我已经尝试用所有这些选项依次替换“sslauto”,但没有运气:SSLV2|SSLV3|TLSV1|TLSV11|TLSV12
我一直在指的 Monit 文档在这里: …
我正在使用java 1.6.我已将我的 tomcat 设置为ssl启用的服务器。我已经设置了一个支持 ssl 的客户端(java 代码)。当我从客户端到服务器进行通信时。在 tomcat 日志中的 java ssl dump 中,我总是看到TLSv1我的客户端和服务器都选择了 SSL 协议版本。有没有一种方法可以在SSLv3和TLSv1协议之间切换以实现安全连接?如何使用 进行客户端服务器通信SSLv3?
提前致谢!
我想弄清楚如何禁用 TLSv1 和 1.1 Nginx 并且只允许 1.2 上的连接。这是出于测试原因而不是在生产中使用,而且我一生都无法弄清楚为什么 Nginx 不会让我这样做。
Nginx SSL 配置:
ssl on;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:!aNULL:!MD5:!kEDH;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=262974383; includeSubdomains;";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
但出于某种原因,Nginx 仍在协商 1.0 和 1.1 连接。难道我做错了什么?我在 Ubuntu Server 14.04LTS 和 OpenSSL 1.0.1f 上使用 Nginx 1.7.10。
我想在 Windows Server 2012 中禁用 RC4。从此链接,我应该禁用注册表项或 RC*
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC*]
但我在下面找不到任何东西
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
任何的想法?
我还检查了安全更新编号 2868725,虽然它是最新的,但在 Windows 更新历史记录中没有找到它。
我正在尝试以sssd我在 AWS Directory Services Simple AD 中创建的用户身份登录(通过 SSH,登录到正在运行的 Amazon Linux EC2 实例)。我正在使用 Kerberos 进行身份验证并使用 LDAP(全部通过sssd.)识别用户。我通过多个代理服务器上的 ELB 连接到 Simple AD。
当我将 ELB 配置为对 Kerberos 端口使用 TLS 时,sssd无法连接到 Kerberos 服务器并且登录失败。如果没有 TLS,它工作得很好,一旦我在没有 TLS 的情况下登录,凭据就会被缓存,当我重新打开 TLS 时,登录继续工作。
RFC 6251解释了如何通过 TLS 传输 Kerberos V5,所以假设,这应该是可能的,对吧?我不确定我是否没有正确执行此操作,或者是否sssd不支持基于 TLS 的 Kerberos。谷歌搜索不会产生任何富有成果的东西,并且手册页中没有任何看似相关的内容。
请注意,我通过 ELB 使 LDAPS 完美运行,所以我至少知道我并没有完全偏离轨道。
告诉我:
sssd 不支持通过 TLS 的 Kerberos这是来自sssd. 请注意,我编辑了 IP 地址。
(Thu Dec …