标签: ssl

我们的产品将 postfix 和 nginx 作为 docker 服务运行。我们最初部署一个自签名证书，该证书<our-company>.com.cert以.pem和命名.key。它们被安装为两个服务共享的卷。预计最终用户在其网络中部署应用程序时将上传自己的证书。我们现有的实现会重命名用户上传的所有内容，以匹配我们的默认证书名称。这允许我们覆盖证书，然后退回服务，而无需更新任何服务配置。

在客户网络中，主机名不会是我们公司的域。我能找到的所有文档都引用了通用名称或 SAN，我相信它已融入到文件本身中。但是，这些示例始终显示与域名匹配的证书文件名。这只是一个约定，还是文件名实际上很重要？

我有一个电子邮件服务器，其中有 Let's Encrypt SSL 证书，每 3 个月到期，并且 certbot 会自动更新它。如果我通过浏览器中的网站访问服务器，则会使用正确且最新的 SSL 证书，但 Thunderbird 抱怨 SSL 证书无效，因为它已过期。

投诉是通过一个对话框窗口显示的，如果我单击通过此窗口查看证书，它会显示一个确实已过期的旧证书。但是，如果我单击“获取证书”按钮，该按钮本身会变灰，但不会发生任何其他情况。我尝试右键单击 Thunderbird 中的电子邮件地址（帐户）名称，然后转到“设置”->“安全”并删除该域的所有证书，但不知何故它仍然存储了旧的存储证书。

我的设置是 dovecot + postfix。

有任何想法吗？

如何知道正在使用的 HTTPS 连接是基于 TLS 的还是基于 SSL 的？

如果我想在 Apache2 中使用 TLS 而不是 SSL，有什么特别的配置吗？

我正在尝试在 Wireshark 中解密 SSL 流量，它部分起作用，因为我能够查看解密的标头。问题是我没有看到任何数据包内容，只有它们的标题。这种行为有解释吗？

更详细一点：我们使用 openssl 通过以下命令生成密钥和证书： openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825

然后将私钥解密为 PKCS#8 格式，wireshark 据称支持该格式，我们发出以下命令： openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM

在 Wireshark 中，我们在 SSL 解密部分发布了以下参数： 10.10.10.10,443,http,*.key- 其中 10.10.10.10 是我们尝试使用 sslsniff 进行 MITM 的客户端。我们也尝试了 localhost 和服务器 IP，但没有成功。有什么建议？

我在专用 IP 上有自己的服务器。我可以只生成 SSL 证书，还是仍需要从 Network Solutions 等公司购买？

两者的主要区别是什么？

我知道使用 SSL 并不能阻止第三方查看您正在连接的内容。它也不能防止第三方看到您正在连接的端口吗？

我在 Windows 7 上。每个网站都显示不受信任的安全警告。我尝试了我拥有的所有浏览器。我尝试使用https。这非常奇怪，以前从未发生过，它可能发生在 1 个或 2 个站点上，但现在它发生在每个站点上。

假设我去谷歌，它说，“你接受风险吗？”我说是的，我第二次去谷歌时，它会问同样的问题。

一个小提示，不知道是不是和这个问题有关，反正我会提一下，我在Linux上更改了硬件时间，现在windows时钟不对，不知道有没有关系与问题。

我注意到的另一件事，我不知道它是否与问题有关。我也要提一下。某些网站未正确加载，例如 chess.com，我使用广告拦截器

我在 chess.com 上当了 3 年多的用户，从未见过错误“此网页无效”

另外，网速很慢，不知道有没有关系。最后，证书似乎是合法的，这是谷歌证书

我注意到许多人仍在使用受广泛传播的支持 TLS/SSL 的 Windows 客户端（如 WinSCP 和 Filezilla）的 Heartbleed 漏洞影响的版本。

为了能够提出安全的建议，我想要一个包含安全版本的列表。

可能有一些在 1.0.1 之前使用 OpenSSL 的旧版本（请参阅http://heartbleed.com/）似乎可以安全使用（如果没有其他原因不使用它们）。

例如，WinSCP 5.5.3（尚未发布）在 TLS/SSL 核心升级到 OpenSSL 1.0.1g 后将是安全的。

WinSCP 4.3.7 似乎尚未受到影响，因为它在 1.0.1 之前具有 OpenSSL，有人可以确认这一点，是否有更高版本的工作？

Filezilla 呢？

许多网站现在默认使用 https。以前，即使我只输入 www.google.com 或什至明确调用http://www.google，我现在也必须专门要求 https（即：输入https://www.google.com）。 com它将自动转到 https 版本。这个设置如何？这是 DNS 记录的一部分还是服务器端重定向？

我已将 Apache 配置为返回 HSTS 标头。从 Google Chrome连接到https://lab20.example.com并使用开发人员工具运行时，我可以看到以下响应标头：Strict-Transport-Security:max-age=63072000; includeSubdomains;

但它不起作用。当我尝试访问http://lab20.example.com 时，Chrome 允许这样做。

同样在从 chrome 运行时：chrome://net-internals/#hsts Query domain "lab20.example.com"我收到“未找到响应”。

谁能解释为什么会发生这种情况？