标签: https

这与上一个问题类似，但我相信它有点不同^*。

GMail 等站点支持通过站点的 SSL 版本而不是纯文本协议推送所有流量的首选项。

对于不提供此类首选项的站点（或可能提供但我一直无法找到的站点，例如 facebook），是否可以仅使用浏览器（可能带有插件或插件）来始终先尝试SSL，并且如果SSL 失败，回退到纯文本？

该解决方案是否适用于 Windows、Mac OS X 和 Linux？只有一个？

^{_{* 上一个问题是寻找能够实现此目标的外部应用程序。}}

我想允许一个域的 cookie，但只能通过 HTTPS——而不是来自 HTTP 的同一个域的 cookie。例如，我不想要任何http://www.google.comcookie，但我确实想要允许https://www.google.comcookie（因为日历在那里）。

有没有办法做到这一点？目标甚至有意义吗？

在 Chrome 中，它只允许将域名而不是 URL 添加到 cookie 例外列表中。在 Firefox 中，它允许一个协议，但它只记录域名，如果您单击“允许”或“拒绝”，它会更改列表中的相同条目。

我正在寻找一种工具（可能在 Linux 上），可以让我手动发出 HTTP 或 HTTPS 请求。通过手动，我的意思是：我应该能够为它提供一个看起来像的文本文件

POST /foo HTTP/1.1
Host: www.example.com
Accept: text/xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-gb,en;q=0.5
Content-Type: text/plain
Content-Length: 11

Hello world

和目标 URL (www.example.com/foo)，并将请求发送到该 URL。最多，如果 Content_Length 标头是自动计算的，那将是有用的。

我将能够使用 Python 中的 httplib 之类的库编写这样的工具，但我需要它的真正原因是在此类库出现问题时进行手动调查。

假设：

服务器：

• 我有一个 Debian Squeeze 服务器，可在公共 Internet 上路由，具有静态 IPv4 地址。
• 我可以不受限制地访问修改服务器上的软件。
• 服务器可以监听任意端口，重新配置防火墙规则，基本上没有限制服务器可以做什么。

客户：

• 我可以在本地系统（没有管理员权限的锁定 Windows 桌面）上运行 Firefox、Java 程序、.NET 程序和一些不需要管理员访问权限的本机可执行文件。
• 我可以在 Firefox 中安装插件。
• 我可以侦听环回 ( localhost) 接口上的任何端口。因此，上述程序可以绑定到本地端口并执行任意网络 I/O，而无需通过代理。
• 所有公共 Internet访问都通过限制性 HTTP 代理进行路由，该代理会阻止许多站点，并进行仔细的状态检查。在端口 80 上，它只允许 HTTP（无 TLS/SSL）。在端口 443 上，它允许CONNECT基于 SSL/TLS 访问不受域名/IP 地址阻止的远程主机。
• 限制性 HTTP 代理不会对允许通过代理的 TLS 连接执行深度数据包检查，并且不会对这些连接执行中间人攻击。
• 我可以访问的上述服务器，没有被代理阻止。

目标：

我想通过上述服务器，通过 SSL/TLS路由Firefox 发出的所有HTTP 和 HTTPS 请求。

关于“目标”的其他说明：

• 即使端点站点（例如，http://superuser.com）没有对我的服务器使用 SSL/TLS，我仍然希望从我的客户端到我的服务器使用 SSL/TLS ，并让我的服务器执行 HTTP …

我将在工作时登录我的银行账户和我的个人电子邮件账户。它没有在工作中被禁止，但我只是不希望他们保存/记录我使用这些服务所做的任何事情的副本。尤其是我的密码。

如果该服务使用 HTTPS 连接，我的公司是否能够跟踪/保存/记录我用于这些服务的密码？页面的内容呢？

同样，我公司的规定并不禁止使用我的个人电子邮件帐户或网上银行服务，但我只是不想让他们知道有关这些的任何重要信息。如果他们知道我在使用这些也没关系，但他们不应该访问我的密码。

如果使用 HTTPS，我是否可以安全地使用它们（知道我的公司无法保存任何这些数据）？

PS我真的不是一个网络人，我不太了解这些东西是如何工作的。所以请不要给任何 RTFM 回复。

我有一个 nginx 和不同的子域：

a.mydomain.com
b.mydomain.com
c.mydomain.com

Nginx 有 4 条规则：

1）重写规则：

server {
  listen 80
  server_name gl.udesk.org;

  root /nowhere;
  rewrite ^ https://a.mydomain.com$request_uri permanent;
}

2）https规则：

server {

  listen 443;
  server_name a.mydomain.com;

  root /home/a/a/public;

  ssl on;
  ssl_certificate conf.d/ssl/a.crt;
  ssl_certificate_key conf.d/ssl/a.key;
  ssl_protocols ...
  ssl_ciphers ...
  ssl_prefer_server_ciphers on;

  location ...
}

3）http默认规则：

server {
  listen 80 default_server;
  return 444;
}

4）https默认规则：

server {
  listen 443 default_server;
  return 444;
}

因此，如果我启动 nginx 并且：

• 如果我在浏览器中访问http://a.mydomain.com，它会重定向到 https://a.mydomain.com，然后返回错误 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL 协议错误。
• 如果我在浏览器中访问https://b.mydomain.com， …

由于我将 Firefox 升级到版本 38，我在网站https://usercenter.checkpoint.com/上发送某个表单时遇到问题，大多数网站正常运行，但在打开支持票时发送表单（以下日志中的 URL） ) 导致 Firefox TLS 协商失败。Firefox 的错误页面几乎没有解释：

安全连接失败

加载页面时，与服务器的连接已重置。

• 由于无法验证接收到的数据的真实性，因此无法显示您尝试查看的页面。
• 请联系网站所有者以告知他们此问题。

报告这个错误

报告 usercenter.checkpoint.com 的地址和证书信息将有助于我们识别和阻止恶意站点。感谢您帮助创建更安全的网络！

将来自动报告错误 了解更多...

在Web 开发人员控制台中，我只看到以下内容：

19:58:44.470 This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.1 AjaxCall
19:58:44.589 POST https://usercenter.checkpoint.com/usercenter/portal/js_pane/supportId,CreateServiceRequestId [178ms]

第一行只是警告，将来将不支持 SHA-1。我是否必须打开某些东西才能查看 TLS 失败的原因？来自控制台的 TLS 和证书信息如下：

我看不出有什么问题。出于绝望，我尝试使用 TLS 参数about:config但没有成功：

security.tls.insecure_fallback_hosts
security.tls.unrestricted_rc4_fallback
security.tls.version.fallback-limit
security.tls.version.max
security.tls.version.min

Qualy SSL 测试没有显示任何完全错误：https ://www.ssllabs.com/ssltest/analyze.html?d=usercenter.checkpoint.com

Red Hat 知识库中有一篇很有前途的文章： …

我的 Chrome 浏览器有一个奇怪的问题，我找不到解决方法。每次我尝试访问我的 Gmail 电子邮件时，都会收到以下消息：

无法访问此站点

mail.google.com 当前无法访问。

尝试：

检查连接 检查代理和防火墙

ERR_SSL_VERSION_INTERFERENCE

我尝试了以下方法：

• 设置 > 高级 > 重置
• 设置 > 高级 > 清除浏览数据（从时代开始）

它们都不起作用，再次尝试后我遇到了完全相同的问题。

这是一个工作连接，不会影响任何其他浏览器。我已经尝试过 Firefox 并且电子邮件工作正常。起初我责怪连接，但现在看到它在 Firefox 上工作，我不能这样做。我不支持任何代理。

任何人都可以帮助我吗？

关于 chaim.pem 文件的一般问题；我使用从我的主机获取的 csr，并使用 LetsEncrypt 的 Certbot 生成 https 证书；我使用了以下命令

$ certbot certonly --manual --csr file-with-my-csr.txt

certbot生成了3个文件0000_cert.pem、0000_chain.pem、0001_chain.pem；然后，我使用 cert.pem 文件将证书安装回我的主机；一切都进行得相当顺利；

我的问题是“链”文件的用途是什么，因为我没有在任何地方使用它们；它们在什么场景下会有用？

我正在 Wireshark 中查看 TLS v1.3 标头，但不确定在哪里可以找到用于确认服务器是他们声称的服务器证书。

客户端发送 Hello，然后服务器发送带有两个 TLS 记录层的 Hello，并发送另一个应用程序数据。

但这些都不包含任何有关证书的内容。客户端发回更改密码规范。并且仅传输应用程序数据后，该数据现在显然已加密。

正如 Mike Pound 在这个 Computerphile 视频https://www.youtube.com/watch?v=86cQJ0MMses中所建议的，服务器的证书和数字签名在哪里。视频中建议的“Server Hello Done”位置在哪里。

编辑：

我可以在 TLS v1.2 中看到证书，但在 TLS v1.3 中看不到证书