标签: ssl

Java 7 禁用客户端的 TLS 1.1 和 1.2。来自Java 加密体系结构 Oracle Providers 文档：

尽管 Java SE 7 发行版中的 SunJSSE 支持 TLS 1.1 和 TLS 1.2，但默认情况下这两个版本都未启用客户端连接。一些服务器没有正确实现前向兼容性并拒绝与 TLS 1.1 或 TLS 1.2 客户端对话。对于互操作性，默认情况下，SunJSSE 不会为客户端连接启用 TLS 1.1 或 TLS 1.2。

我有兴趣在系统范围的设置（可能通过配置文件）上启用协议，而不是每个 Java 应用程序的解决方案。

如何在管理上启用TLS 1.1 和 1.2系统范围？

注意：从 POODLE 开始，我想在管理上禁用SSLv3系统范围。（SSLv3 的问题比 POODLE 早至少 15 年，但 Java/Oracle/Developers 不尊重基本的最佳实践，所以像你我这样的用户只能清理烂摊子了）。

这是Java版本：

$ /Library/Java/JavaVirtualMachines/jdk1.7.0_07.jdk/Contents/Home/bin/java -version
java version "1.7.0_07"
Java(TM) SE Runtime Environment (build 1.7.0_07-b10)
Java HotSpot(TM) 64-Bit Server …

在 Windows 上使用 Firefox 时，我在访问任何 HTTPS 站点时看到“不受信任的连接”警告，包括非常有名的站点，例如https://www.google.com和https://search.yahoo.com。警告消息说：

技术细节

search.yahoo.com 使用了无效的安全证书。

该证书不受信任，因为未提供颁发者链。

（错误代码：sec_error_unknown_issuer）

这尤其令人讨厌，因为搜索栏不起作用。

它似乎只发生在启用了家庭安全的 Windows 8.1 儿童帐户上。这是怎么回事，我该如何解决？

我一直在寻找一种方法来做到这一点，但从未找到一个好的答案，尽管过去曾创建过票证（#142818和#405549）。

显然，chrome开发人员从未为保存密码的“损坏的”SSL创建chrome://flags覆盖。这似乎是解决这个烦人的“功能”（通过标志）的最简单方法。我完全理解他们为什么默认阻止它。

由于我的知识没有覆盖，我假设您需要将给定的自签名证书导入（Windows）存储中的受信任根区域。这似乎也不起作用。

有没有人能够让这个工作？我可以忍受警告 - 只是没有密码保存。我工作日的大部分时间都在开发环境中度过，每天需要多次重新输入密码（复制/粘贴）。

我想在 https localhost 上测试我的网络应用程序。不幸的是，似乎不可能从 chrome 中删除证书警告。首先，我生成了这样的证书：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/localhost-selfsigned.key -out /etc/ssl/certs/localhost-selfsigned.crt

然后我想将它添加到 Chrome，设置 > 高级 > 管理证书 - > 导入。我尝试导入之前生成的 .crt 文件，我得到的只是：

证书导入错误：此客户端证书的私钥丢失或无效。

我用谷歌搜索它，但我发现没有任何帮助。

我还尝试启用 allow-insecure-localhost 标志并打开 chrome with--ignore-certificate-errors但它仍然显示警告和损坏的 https

还有其他方法还是我在证书上做错了什么？

为什么需要中间证书颁发机构？什么时候使用中间证书？如何验证从中间证书到根证书的链？链接到根证书的中间证书示例有哪些？

我想没有必要在 Chrome 中引入“隐私错误”页面，每当人们使用 SSL 访问没有签名证书的未经认证的网站（锁定图标上的红色“X”）时，就会出现该页面。

我使用 SSL 访问我担保的许多个人位置，并知道它们是好的（它们是我的）。由于我每天多次访问这些位置，因此在进入网站之前我不得不点击两次，这很乏味。

有没有办法为特定网站（本质上是白名单）专门针对此事添加“例外”？实现这一目标的任何其他方式当然都非常受欢迎。

我想使用带有 https 的 Mac OS X 进行本地开发测试。我怎样才能轻松地让 Apache2 响应 ssl，仅用于测试建议 - 我不想要一个真正的证书，只是一个让本地 https 工作的假证书

我安装了 Go Daddy SSL 证书，并且在除 Android 之外的任何地方都可以正常工作。

https://www.ssllabs.com/ssltest/analyze.html 说该链不完整，我在堆栈溢出中读到了错误顺序的 SSL 链将在 Android 上失败。

但是我该如何安排呢？在我的服务器上？SSL证书本身需要重新加密吗？在 FTP 上移动东西？

我在一个有很多限制和监控的专用网络上。每个 HTTPS 连接都会导致 SSL 认证错误（也许那些人使用“中间人”方法来解密网络中的 HTTPS 流量？）

到目前为止，我已经尝试了这些问题的解决方案。

• 证书 - 如何绕过 Firefox 33 中的“安全连接失败”警告 - 超级用户
• 有没有办法让 Firefox 忽略无效的 ssl 证书？- 堆栈溢出

但就我而言，每次访问安全站点时仍需添加例外。此外，对于某些站点，来自不同域的资源（例如图像、样式表、脚本）将无法加载，并且站点会损坏且无法读取。

www.google.com 使用了无效的安全证书。

该证书不受信任，因为颁发者证书未知。服务器可能没有发送适当的中间证书。可能需要导入额外的根证书。

错误代码：SEC_ERROR_UNKNOWN_ISSUER

对于 Chrome，有一个不受支持的命令行开关--ignore-certificate-errors但它使 Chrome 忽略所有 SSL 认证错误。有什么可以在 Firefox 中做同样的事情吗？（我在 Windows 7 上使用最新版本的 Firefox）

我有一个使用自签名证书的 Web 服务，因此我需要将该证书安装为受信任的根，以便我可以避免使用自签名证书带来的所有安全错误。

使用 Windows 7，我将：

Start > Internet Explorer > Run as Administrator > Tools > Internet Options > Content > Certificates > Trusted Root Certification Authorities > Import > (select file) > Next > OK, 和 Windows 报告 Import Successful

但是，导入不成功。证书未显示在受信任的根列表中，并且仍然显示证书错误。

如果我将证书导入 Trusted Publishers 容器，它会正确导入，但这并不能解决我的安全错误。

有任何想法吗？