标签: ssl

在 Arch Linux 上更新到 OpenVPN v2.4.7 和 OpenSSL 1.1.1c 后，我无法连接到之前使用的服务器：

\xe2\x9e\x9c  untangle-vpn sudo openvpn --verb 11 --config ./config.ovpn\nFri Jun  7 21:46:11 2019 OpenVPN 2.4.7 [git:makepkg/2b8aec62d5db2c17+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 19 2019\nFri Jun  7 21:46:11 2019 library versions: OpenSSL 1.1.1c  28 May 2019, LZO 2.10\nFri Jun  7 21:46:11 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XXX:XXXX\nFri Jun  7 21:46:11 2019 UDP link local: (not bound)\nFri Jun  7 21:46:11 2019 UDP link remote: …

我有一个这样的域名：https://abc-.domain.com/. 如果我打开这个网站，不同的浏览器会显示不同的结果。例如，Firefox 会抛出错误安全风险。另一端的 Chrome 加载网站没有问题。

如果我调用该域，https://abc.domain.com该网站将在 Firefox 中打开，不会出现任何问题。所以我能看到的唯一区别是连字符-。

该证书应对以下子域/域有效：

*.domain.com,domain.com

我尝试验证证书，openssl s_client -debug -connect abc-.domain.com:443但没有发现问题。

那么连字符不是有效的通配符吗？

我有一个连接到 IMAP 存储并检查消息的 Java 应用程序。它在 AWS 上的 Ubuntu 20.04.2 LTS 焦点上运行。它在 Java 11 (OpenJDK) 上运行。

一切正常，直到 2021 年 4 月 21 日，Java 版本自动更新到 OpenJDK 11.0.11。此时，重新启动应用程序后，我收到以下异常：

javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
        at java.base/sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:170)
        at java.base/sun.security.ssl.ClientHandshakeContext.<init>(ClientHandshakeContext.java:98)
        at java.base/sun.security.ssl.TransportContext.kickstart(TransportContext.java:221)
        at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:433)
        at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:411)
        at com.sun.mail.util.SocketFetcher.configureSSLSocket(SocketFetcher.java:549)
        at com.sun.mail.util.SocketFetcher.createSocket(SocketFetcher.java:354)
        at com.sun.mail.util.SocketFetcher.getSocket(SocketFetcher.java:237)
        at com.sun.mail.iap.Protocol.<init>(Protocol.java:116)
        at com.sun.mail.imap.protocol.IMAPProtocol.<init>(IMAPProtocol.java:115)
        at com.sun.mail.imap.IMAPStore.newIMAPProtocol(IMAPStore.java:685)
        at com.sun.mail.imap.IMAPStore.protocolConnect(IMAPStore.java:636)
        ... 24 more

我刚刚在 2020-04-14 降级回 OpenJDK 11.0.7，一切恢复正常。

在版本 11.0.7 和 11.0.11 之间，java.security 策略或支持的密码是否发生了重大变化？

除了保留 11.0.7 版本之外，还有其他方法可以解决此问题吗？

我正在寻找一个 Web-UI 电子邮件服务，其中整个会话都是 SSL（加密）。Gmail 和 Yahoo Mail 都是 Web 应用程序，但 SSL 仅用于登录页面，会话的其余部分（包括电子邮件）是透明的。我愿意为这样的服务付费。它当然必须具有所有最新的电子邮件功能（搜索、文件夹、联系人等）并且可靠。

我使用 emacs 进行编码和其他东西。

我现在有一个网站，我必须在 ssh 连接上做很多文件编辑工作。我很难学习 vi 或 nano。

我想知道是否有任何工具或什至更轻的 emacs 可用于基本的文本编辑。

我有一个虚拟服务器托管在 ISP 上，有 2 个公共 IPv4 地址。我想使用 Apache 运行多个子域（超过 2 个）并通过 HTTP 和 HTTPS 为它们提供服务。SSL 证书是 *.mydomain.com 的通配符。

我试图以这种方式在 Debian 中配置 Apache 但失败了。要么我的虚拟主机不被接受，要么我收到 SSL 错误。（我知道 Apache 在提供证书之前没有看到请求的主机名，但证书包含所有可能的子域）

请帮助创建一个最适合 Debian 的 Apache 配置布局的 httpd.conf。

所有细节：

• Apache 监听 *:80 的 HTTP 和 *:443 的 HTTPS
• 应同时为两个端口/协议定义所有 NameVirtualHosts、别名等
• 默认 mydomain.com 和 www.mydomain.com 应该根到 /var/www
• foo.mydomain.com 和 bar.mydomain.com 等的附加 NameVirtualHosts 可以专门配置，例如有另一个 DocumentRoot

当我尝试访问 GMail 或一堆其他 SSL 站点时，Chrome 会发出以下警告。

Invalid Server Certificate
You attempted to reach mail.google.com, but the server presented an invalid certificate.
You cannot proceed because the website operator has requested heightened security for this domain.

这是 Chrome 报告为无效的证书：

-----BEGIN CERTIFICATE-----
MIIDIjCCAougAwIBAgIQK59+5colpiUUIEeCdTqbuTANBgkqhkiG9w0BAQUFADBM
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0xMTEwMjYwMDAwMDBaFw0x
MzA5MzAyMzU5NTlaMGkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHFA1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKFApHb29nbGUgSW5jMRgw
FgYDVQQDFA9tYWlsLmdvb2dsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAK85FZho5JL+T0/xu/8NLrD+Jaq9aARnJ+psQ0ynbcvIj36B7ocmJRASVDOe
qj2bj46Ss0sB4/lKKcMP/ay300yXKT9pVc9wgwSvLgRudNYPFwn+niAkJOPHaJys
Eb2S5LIbCfICMrtVGy0WXzASI+JMSo3C2j/huL/3OrGGvvDFAgMBAAGjgecwgeQw
DAYDVR0TAQH/BAIwADA2BgNVHR8ELzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0
ZS5jb20vVGhhd3RlU0dDQ0EuY3JsMCgGA1UdJQQhMB8GCCsGAQUFBwMBBggrBgEF
BQcDAgYJYIZIAYb4QgQBMHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0
cDovL29jc3AudGhhd3RlLmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3
dGUuY29tL3JlcG9zaXRvcnkvVGhhd3RlX1NHQ19DQS5jcnQwDQYJKoZIhvcNAQEF
BQADgYEANYARzVI+hCn7wSjhIOUCj19xZVgdYnJXPOZeJWHTy60i+NiBpOf0rnzZ
wW2qkw1iB5/yZ0eZNDNPPQJ09IHWOAgh6OKh+gVBnJzJ+fPIo+4NpddQVF4vfXm3
fgp8tuIsqK7+lNfNFjBxBKqeecPStiSnJavwSI4vw6e7UN0Pz7A=
-----END CERTIFICATE-----

我认为某人或某物（代理、防病毒、浏览器扩展）正在窥探我的 SSL 流量。

我如何确定谁/什么在做这件事？

我已经阅读了一些关于如何在 ubuntu 上设置 postfix 并支持我的 ssl 证书的教程：

• https://help.ubuntu.com/community/Postfix
• http://www.projektfarm.com/en/support/howto/postfix_smtp_auth_tls.html

但他们都没有提到我想要做什么，所以也许我错过了一些东西。

我的证书文件需要密码（至少在我使用同一个证书启动 apache 时需要密码），但是，在任何阶段我都不会在启动或配置 postfix 时输入此证书的密码。

我将如何使用加载证书所需的密码启动或配置 postfix？

OpenSSL 中的 Heartbleed Bug 是否会影响所有 SSL 证书，无论我在哪里购买或我是否自行认证？

例如，如果我从 GoDaddy 购买了 SSL 证书并按照他们的 Apache 教程 ( http://support.godaddy.com/help/article/5238/installing-an-ssl-certificate-in-apache)在我的服务器上进行设置)，这是否容易被 Heartbleed 利用？

我们正在运行一些安装了 WHM/cPanel 的 Web 服务器，因此我们可以轻松管理我们的站点和项目。为了确保我们的信息和用户信息的安全，我们一直在运行一些安全测试。我们所有的服务器目前都支持匿名密码套件；具体来说：

TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                 and
TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019) 

在不弄乱我们的网站的情况下禁用这些的最佳方法是什么？