标签: ssl

根据HTTPS 描述：

超文本传输​​协议安全 (HTTPS) 是超文本传输​​协议 (HTTP) 与 SSL/TLS 协议的组合。它提供网络 Web 服务器的加密通信和安全识别。

和SSL/TLS：

TLS 协议允许客户端-服务器应用程序以一种旨在防止窃听和篡改的方式通过网络进行通信。

由于大多数协议可以在有或没有 TLS（或 SSL）的情况下使用，因此有必要向服务器表明客户端是否正在建立 TLS 连接。有两种主要方法可以实现这一点，一种选择是对 TLS 连接使用不同的端口号（例如，对于 HTTPS 使用端口 443）。另一种是使用常规端口号并让客户端请求服务器使用特定于协议的机制（例如邮件和新闻协议的 STARTTLS）将连接切换到 TLS。

从这个解释我们可以理解 HTTPS 流量使用 443 TCP 端口加密，我的意思是，代理不可能解释流量并阻止不需要的站点，因为它是加密的。

在我的公司，人们通常使用 https:// 访问 facebook、hotmail 和其他被公司代理阻止的网站。所以，我想知道，是否可以使用代理或其他技术并与实际代理解决方案集成来阻止特定站点的 https 流量？是否可以通过 https 层过滤或阻止特定站点？

我正在尝试在我的网站上启用 ssl 我使用 wamp 作为一个实时站点，我已经阅读了很多关于如何启用 SSL 的教程，但无法找到任何使用来自 startssl.com 的证书的教程

我认为需要启用的每个模块都已启用，目前我什至有

Include conf/extra/httpd-ssl.conf

un 在我的 httpd.conf 中进行了评论，但是为了我的网站运行，在我的 httpd-ssl.conf 中评论了每一行。

我已经在我的 httpd-ssl 中单独浏览了每一行，并逐行注释了行 1 by 1 检查，在我取消注释虚拟主机行之前，我似乎没有任何问题（是的，我每次都这样做了，保存并重新启动了我的服务器）

我不知道这里发生了什么，我有从startssl保存的4个文件，crt用于我的网站......所以我希望这里有人可以提供帮助。下面是我的 httpd-ssl.conf

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLPassPhraseDialog  builtin
SLSessionCache         "dbm:Z:/wamp/logs/ssl_scache"
SSLSessionCache        "shmcb:Z:/wamp/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300

Listen 443

AddType application/x-x509-ca-cert .crt  
AddType application/x-pkcs7-crl    .crl  
SSLPassPhraseDialog  builtin  
SSLSessionCache        "shmcb:Z:/wamp/bin/apache/Apache2.2.11/logs/ssl_scache(512000)"  
SSLSessionCacheTimeout  300  
SSLMutex default  

NameVirtualHost *:443  

<VirtualHost *:443>  
ServerName "dirtrif.com"  
DocumentRoot "Z:/wamp/www/"  

SSLEngine on  
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCACertificatePath "Z:/wamp/OpenSSL/certs/"
SSLCACertificateFile "Z:/wamp/OpenSSL/certs/public.crt"
SSLCACertificateFile "Z:/wamp/OpenSSL/certs/ca.pem"
SSLCertificateKeyFile "Z:/wamp/OpenSSL/certs/ssl.key"
SSLCertificateChainFile "Z:/wamp/OpenSSL/certs/sub.class1.server.ca.pem"
</VirtualHost>

我还要注意：我运行 apache 2.4.4 并且我已经使用从 …

我尝试了各种方法来安装证书，但似乎 linux 没有看到它或其他东西是错误的。

我.pfx必须能够通过 vpn 连接到另一台服务器（需要使用 Cisco AnyConnect）。我尝试将其转换为.pem，然后将该文件添加到/usr/share/ca-certs（在其中创建新目录或直接将其放入），然后运行`update-ca-certificates。我总是得到这样的回应：

Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....

然后尝试使用 Cisco AnyConnect 进行连接，会出现此错误： 'Certificate validation error

我设法导入证书的唯一方法是通过 Firefox。我在Your Certificates.

然后再次尝试使用 Cisco AnyConnect 进行连接，它会给我这个错误：

The AnyConnect package on the secure gateway could not be located. You may be experiencing network connectivity issues. Please try connecting again.

然后我在 Firefox 中打开了导入的证书并看到了这条消息：

could not verify this certificate because the issuer is not trusted. …

我对证书不太了解，而且我不想破坏任何试图解决这个问题的东西 - 所以寻求一些建议。在某个时候同意让 Fiddler 安装用于解密流量的 HTTPS 证书。我今天决定，当我打开 Fiddler 时，我会收到一些垃圾邮件，所以我决定找到一种方法来删除此证书。

我遇到了/sf/ask/1177953101/并按照接受的答案中的第1步操作。我实际上不太明白第2步- 因为我不确定要删除哪些证书。

根据另一个答案，我已经重新启动了我的机器，现在我发现 chrome 不喜欢访问特定的内部站点。这个站点有一些证书问题，但我以前能够绕过这个问题（其他用户也是如此）。但是现在我被困在没有重新安装 Fiddler 证书的情况下访问它。

谁能建议我如何解决这个问题？

我们有一个使用 https/ssl 的内部网站（在我们的 VPN 后面）。每次访问它时，都会收到此错误消息：

你的连接不是私人的

攻击者可能试图从address.removed.com窃取您的信息（例如，密码、消息或信用卡）。

NET::ERR_CERT_AUTHORITY_INVALID

该服务器无法证明它是address.removed.com；您的计算机操作系统不信任其安全证书。这可能是由于配置错误或攻击者拦截了您的连接造成的。

我能做些什么来解决这个问题？我可以将该地址添加到白名单吗？我可以以某种方式固定 ssl 证书或其他东西以使其被接受吗？

我在 Windows 7 上使用 Chrome。

我在 Linux Xubuntu 系统上使用 Firefox 44.0.2。我正在尝试访问需要证书的公司网站。

我可以在 Preferences->Advanced->Certificates->View Certifacates->Your Certificates 中确认我拥有正确的证书

它就在那里，它与我在 Windows 机器上的 Chrome 浏览器上成功使用的证书相同。当我尝试从 Windows Chrome 访问该网站时，我收到一个弹出窗口，要求我选择其中一个证书，我选择了正确的一个，一切正常。

我的问题是，当我尝试访问该网站时，Linux 上的 Firefox 从不提示我选择证书。我只是收到“400 没有发送所需的 SSL 证书”。

如何让 Firefox 提示我提供证书？或者我怎么能告诉他使用哪个证书？

我在 Windows 7 上使用 git GUI。我需要克隆存储库并且只想使用它。

但是，当使用自签名证书克隆、拉取、推送到/从 repo 时，我收到此错误：

我试图做一些解决方法：

并检查路径C:\Users\student\.git以查看我的配置文件中的内容：

但是，我仍然无法完成这项工作。有没有人有任何线索？如何使用 git gui 和自签名证书？

加起来：

我有一台安装了 Git 服务器的服务器。我使用自签名证书保护了服务器。我创建了一个存储库，我们称之为 X。现在我在使用 git gui 时在我的 Git 服务器上克隆/推/拉任何存储库时遇到问题。

但是，当我切换到 git cmd 时，克隆/推送就可以了，当我使用这些命令时：

git -c http.sslVerify=false push
git -c http.sslVerify=false clone https://...

我尝试以管理员身份编辑位于 中C:\Users\student\.git的配置文件git config sslVerify=false。但是，虽然sslVerify = false我的配置文件中有，git -c http.sslVerify=false但在使用 git cmd 时我仍然需要使用（但可以说，我没问题）。

所以基本上，我需要一种在使用 git gui 时跳过 SSL 证书检查的方法（它完全安全，我只在我的本地网络上使用它）。问题是如何用 git gui 做到这一点？是否有任何选项可以一劳永逸地设置，我想跳过使用 git gui 的证书验证部分？

我在使用 Apache2 的 Linux PC 上安装了 OpenSSL。

不，我没有启用 DNS 解析。我在机器上有本地证书。

尽管如此，Chrome devtools 告诉我Initial Connection took 1.64?s. 在经过特定时间后刷新页面时，等待我的时间很长。

如何加快速度或者是它应该的方式？

PS：我使用的是 StartCom 的免费 ssl。

当我连接到https://www.feeguarantee.com 时，Chrome 会给我一个 ERR_SSL_PROTOCOL_ERROR。Firefox 提供 SSL_ERROR_RX_RECORD_TOO_LONG。Edge 给出了一些通用错误。

所有其他站点似乎都运行良好，包括我知道托管在同一台服务器上的站点。使用我的网络的其他人也可以正常连接到该站点。

DNS 托管在 Cloudflare 中，并使用 Cloudflare 灵活的 SSL 模式。但是，当我禁用 Cloudflare 时，使用直接安装在我们服务器上的证书也会遇到同样的问题。其他使用 Cloudflare 的 SSL 的站点工作正常。

卷曲报告如下

$ curl -v https://www.feeguarantee.com * Rebuilt URL to: https://www.feeguarantee.com/ * Trying 162.242.219.59... * Connected to www.feeguarantee.com (162.242.219.59) port 443 (#0) * successfully set certificate verify locations: * CAfile: C:\Program Files (x86)\Git\bin\curl-ca-bundle.crt CApath: none * TLSv1.0, TLS handshake, Client hello (1): * error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol * Closing connection 0 curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

Chrome 建议运行 …

我有一个自生成的 CA 和一个生成的证书。证书有效：

» openssl verify -verbose -x509_strict -CAfile rootCA.pem mysite.bundle.crt
mysite.bundle.crt: OK

根 CA 安装在我的系统 (Ubuntu 16.04) 中，并且 curl 能够验证证书：

curl https://mysite

这里没有抱怨。

我可以验证正在运行的站点中的证书链，一切似乎都正常，包括 SAN 条目：

» openssl s_client -showcerts -servername mysite -connect mysite:443 </dev/null 2> /dev/null | openssl x509 -noout -text | grep DNS:
                DNS:mysite

但 Chrome 仍然抱怨。可能是什么原因？

编辑

添加截图