标签: ssl

我在酒店 Wi-Fi 网络上，尝试通过 HTTPS 访问任何 Google 网站时，Chrome 中偶尔会显示以下消息：

发生这种情况时报告的 SSL 证书是

此错误不会一直发生，但仍会定期弹出。它只发生在 Google 网站上；所有其他网站都通过 SSL 运行，所有非 SSL 网站也可以运行。

是什么原因造成的？如果是代理服务器或将网络连接到互联网的路由器配置错误，为什么它只发生在 Google 上，为什么会出现 Netflix 证书？

看起来https://gmail.com使用了用于主机名的 SSL 证书mail.google.com。由于 SSL 证书主机名与浏览器 URL 不匹配，为什么会这样？我应该得到警告！

我用 Firefox 和 Chromium 进行了测试（看起来它之前不起作用）。

我用命令检查了证书：echo | openssl s_client -connect gmail.com:443它给出：

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com

正如问题所暗示的那样：如何禁用对 SSL 版本 3 的支持并将 TLS 版本 1 设置为支持的最低（最旧）协议以防御 POODLE。

可以使用此测试来测试浏览器。

基本上，我还没有找到 Safari 的解决方案。

我看到很多不同的地方都有相同的响应，用于在 chrome 上禁用 SSL3（添加--ssl-version-min=tls1到 chrome.exe 执行的末尾）。但显然这不适用于我的 64 位版本的 Chrome（版本 40.0.2188.2 dev-m（64 位））。谁有想法？

另请注意，这在其他系统上的 32 位版本上运行良好。

我想让 Chrome 对所有发往代理（我控制）的传出请求使用 SSL。代理可以接受普通的 HTTPS 连接（作为透明代理），它还支持非加密的 HTTP 连接，客户端可以在其中进行 HTTP CONNECT，然后协商 SSL。

然而，只有铬使用HTTP CONNECT为HTTP小号的URL。当我打开一个 http url 时，chrome 向代理发送一个 HTTP GET 而不是 HTTP CONNECT。即使我使用的 PAC 脚本为 http 和 https url 返回“HTTPS 主机：端口”，也会发生这种情况。而且我在连接到代理时根本无法让 chrome 使用普通的 HTTPS。

我的目标是保护浏览器和代理之间的流量免受被动网络侦听器的影响，包括隐藏在 HTTP 标头中传递的任何代理身份验证令牌。我怎样才能做到这一点？

我的 Chrome (40.0.2214.115m) 跳转到不存在的 https ：

我输入

http://johnwhitech.homeip.net:8080/

和 Chrome 重定向到

http s://johnwhitech.homeip.net:8080/

这是不存在的。我没有到处都有HTTPS。

在网络分析器中，我看到我的服务器回答了一个不正确的 307 重定向（apache 配置正确并且没有给出这个答案，其他浏览器不重定向，HTTP 数据包循环完全正常）。

我试图用提琴手记录请求，这是它：

连接 johnwhitech.homeip.net:8080 HTTP/1.1

主持人：johnwhitech.homeip.net:8080

连接：保持连接

用户代理：Mozilla/5.0（Windows NT 6.3；WOW64）AppleWebKit/537.36（KHTML，像 Gecko）

Chrome/40.0.2214.115 Safari/537.36

发现了 SSLv3 兼容的 ClientHello 握手。Fiddler 提取了以下参数。

...

其他奇怪的事情：在 fiddler 的 HOST 列中，如果我尝试使用 Firefox，我会看到我的服务器名称。使用 chrome，即使是第一个请求，我也只能看到“Tunnel to...”。该协议确实是 HTTP（查看数据包的开头），但是为什么在壁炉上我的 chromes 会同时发送 SSL“ClientHello”？

这是正常行为吗？

我看到的唯一可能与 SSL 相关的是我安装了一个自签名证书，首先是通过 chrome 设置，然后是系统范围的。此证书运行良好，但也许由于域名与列表中的证书匹配，chromes 会尝试 SSL ？

谢谢各位！

EDIT3：这种行为也会在没有互联网连接（清除缓存）的情况下发生，所以绝对不是在服务器端

EDIT4：我在 Chrome 开发工具的“网络”选项卡中看到的内容。第一个条目是正常的，第二个条目是通过 HTTP 立即重定向到 HTTPS。这发生在没有网络连接的情况下，特别是服务器没有发送 HSTS。

大约六个月前，几个网站开始逐渐失去风格，最终其中一些完全停止在 Opera 中工作，尽管它们在其他浏览器中工作。所有这一切看起来都像是针对 Opera-Presto 的阴谋。

今天我意识到问题是什么：所有失败的站点都在使用 HTTPS 来检索他们的 CSS 和 JavaScript 文件，而且一些重要的证书似乎已经过期。

歌剧在蜻蜓抱怨：

没有提出要求。所有数据都是从缓存中检索的，无需访问网络。

由于证书不会自动更新，我需要手动导入它们。但是从哪里下载最新的根证书呢？

它接受：

• 资源管理器
• 用户 (x509)
• p7s（pkcs 7 签名）
• p7 (pkcs 7)
• p12（带安全密钥的 pkcs #12）
• pem

更新 - 真正的解决方案

实际上，Opera 没有任何问题，它是证书存储！真正的坏人是 Eset NOD 32 防病毒软件，它以某种方式干扰了 SSL 连接，尽管它不应该这样做。当几乎所有 SSL 网站在 Tor 浏览器之外的任何浏览器中都停止工作时，我理解了这一点。关闭 NOD32 并没有解决问题。我不得不将其完全删除并重新安装。

有答案怎么办？让它在这里！

我无法google.com在任何浏览器（Safari、Firefox 或 Chrome）上通过 HTTPS连接。所有其他网站（HTTPS 与否）都很好。我得到的错误是ERR_CONNECTION_CLOSED在 Chrome 中，Secure Connection Failed在 Firefox 中。双方curl并OpenSSL通过命令行也会失败：

$ curl https://www.google.com
curl: (35) Server aborted the SSL handshake

$ OpenSSL s_client -connect www.google.com:443
CONNECTED(00000003)
333:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52.8.4/src/ssl/s23_lib.c:185:

我尝试过“重置我的默认钥匙串”和许多其他建议，但没有任何效果。我最近安装了 AVAST（已经运行了几个星期），我认为这个问题可能与 AVAST 劫持 SSL 进程有关——我现在已经卸载了它，但仍然有同样的问题。

当 Bettercodes.org 在 9 月消失时，我将我的私人仓库移到了https://subversion.assembla.com/。它工作得很好，除了每次与服务器交互时我都必须暂时接受证书。

> svn --version
svn, version 1.8.4 (r1534716)

> svn update .
Updating '.':
Error validating server certificate for 'https://subversion.assembla.com:443':
 - The certificate is not issued by a trusted authority. Use the
   fingerprint to validate the certificate manually!
 - The certificate has an unknown error.
Certificate information:
 - Hostname: *.assembla.com
 - Valid: from Apr 16 13:31:17 2014 GMT until Mar 24 19:30:40 2016 GMT
 - Issuer: http://certs.godaddy.com/repository/, GoDaddy.com, Inc., Scottsdale, Arizona, US
 - Fingerprint: …

我从 Best Buys 购买了一台新的 ASUS Q302 笔记本电脑，用于在 Intel Broadwell 架构（第 6 代 i7）下测试一些软件。看起来机器预装了其中一种代理/拦截证书。机器好像没有安装杀毒软件，我也没有安装任何软件。

我不同意被代理或拦截，所以我不确定是什么包在做这件事。我正在尝试确定哪个软件包拥有它，但我无法让 Microsoft Edge 向我提供证书或假 CA 的详细信息（下面，我单击了红色盾牌）。

Edge 似乎还缺少 Explorer 提供的其他有用设置，例如管理启动的方法、重置浏览器的方法以及管理浏览器帮助对象 (BHO) 的方法。

确切地说，我如何让新的和改进的 Internet Explorer 向我提供它曾经提供的基本信息？

Mozilla

谷歌