我真的很喜欢这个适用于 Firefox 的HTTPS Everywhere插件。但我倾向于浏览器跳跃,所以其他主要浏览器是否发布了类似的首选 HTTPS 的附加组件?
我对 SSL 证书还很陌生,想知道我用于 HTTPS 的自签名证书是否可以续订以延长其到期日期,而网站的所有客户端都不必通过他们拥有的“允许例外”流程当他们第一次访问该站点时,或者在颁发从头创建的新自签名证书时执行此操作。
我发现以下教程显示了如何使用更新自签名证书,openssl但我无法使用它,因此我的浏览器静默接受它而不显示“不受信任的站点”警告屏幕:
# cd /etc/apache2/ssl
# openssl genrsa -out togaware.com.key 1024
# chmod 600 togaware.com.key
# openssl req -new -key togaware.com.key -out togaware.com.csr
AU
ACT
Canberra
Togaware
Data Mining
Kayon Toga
Kayon.Toga@togaware.com
(no challenge password)
# openssl x509 -req -days 365 -in togaware.com.csr \
-signkey togaware.com.key -out togaware.com.crt
# mv apache.pem apache.pem.old
# cp togaware.com.key apache.pem
# cat togaware.com.crt >> apache.pem
# chmod 600 apache.pem
# wajig restart apache2
我的设置与 …
有人可以启发我“NSS错误-5961(PR_CONNECT_RESET_ERROR)”的含义吗?
我正在尝试使用“https”协议连接到 bitbucket.org,但被服务器拒绝。然后,我尝试在命令行上使用 curl 并查看此输出。
# curl -v https://bitbucket.org
* About to connect() to bitbucket.org port 443 (#0)
* Trying 131.103.20.168...
* Connected to bitbucket.org (131.103.20.168) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -5961 (PR_CONNECT_RESET_ERROR)
* TCP connection reset by peer
* Closing connection 0
curl: (35) TCP connection reset by peer
使用 openssl,我得到了这个输出。
# openssl s_client -connect bitbucket.org:443 -msg
CONNECTED(00000003)
>>> TLS 1.2 Handshake [length 00f4], ClientHello
01 00 …在我的本地 Apache 环境中,我有一个需要 SSL 进行开发的站点,因此我一直在使用自签名证书。到目前为止,本地站点在 Firefox 和 Chrome 中运行良好,但在今天将 Firefox 更新到版本 59 后,我无法让它接受安全异常(在 Chrome 上,自签名证书继续工作)。
Firefox 在被阻止的页面中为我提供了以下附加信息:
... 使用无效的安全证书。该证书不受信任,因为它是自签名的。错误代码:SEC_ERROR_UNKNOWN_ISSUER
没有像以前那样允许例外的选项,但是我转到了证书下的 Firefox 首选项,然后在“服务器”选项卡中,我为本地域添加了一个例外。然后证书会列在正确的本地服务器名称中,详细信息显示我的颁发者和颁发者证书设置相同,具有有效的时间跨度。
有没有人在 FF 59 上遇到过类似的问题,或者可能知道如何尝试让自签名证书在本地再次工作?
编辑:我在FF 59 发行说明中没有看到任何提及,但新版本中的某些内容导致 *.dev 域上的所有本地虚拟主机自动尝试建立 https 连接(也就是说,所有 http *.dev 的请求会自动发送到 https URL)。也许这种行为也是导致我的实际 https 虚拟主机出现这些问题的原因。
请在我自己的答案中查看编辑部分;它们包含对这个难题的解释。
我正在尝试为在 CentOS 6.5 VPS 上运行的 Apache 2.2.9 服务器禁用 RC4,但我似乎无法成功。
安装了最近购买的业务验证证书并且 SSL 连接运行良好,但我想尽可能地进行配置,以“加强安全性”,正如一些教程所说的那样。
使用 Qualys SSL Labs 检查配置,结果页面显示“此服务器接受弱的 RC4 密码。等级上限为 B。”
但是,我已将其放在 ssl.conf 中:
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3
我已将这个问题的答案中给出的脚本保存在名为 test-ssl-ciphers.sh 的文件中,并将 IP 地址更改为环回地址。这是结果./test-ssl-ciphers.sh | grep -i "RC4":
Testing ECDHE-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDHE-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing AECDH-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ADH-RC4-MD5...NO (sslv3 alert handshake failure)
Testing ECDH-RSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing ECDH-ECDSA-RC4-SHA...NO (sslv3 alert handshake failure)
Testing RC4-SHA...NO (sslv3 alert …我有一个 nginx 代理,可以将具有指定端口的 http 请求重定向到另一个 https url。
到目前为止,这是我的配置:
server {
listen 59848;
location / {
resolver 8.8.8.8;
proxy_pass https://example.com$uri$is_args$args;
}
}
请注意,“example.com”仅用于此示例,稍后我将限制请求仅从本地主机发送。
这工作得很好,只要“proxy_pass”url 后面的服务器使用由知名 CA 机构签名的有效 SSL 证书(nginx 以某种方式使用该根证书)。
但是我有一个问题,我必须在 nginx 端使用自定义的自签名 SSL 客户端证书。有人知道如何将此自签名证书安装到 nginx 吗?
我试图始终信任自签名证书,但我遇到了问题。
一方面,当我尝试将证书拖到文件夹或桌面时,它什么也没做。我可以从 safari 中执行相同的操作来保存证书,但不能使用 chrome。
当我将该证书拖到钥匙串访问,添加它并信任它时,它在那之后在 safari 中工作。但仍然不是铬。
如何从 chrome 获取证书并在 macOS 10.13 上始终信任它?
如果我查看具有未签名或自签名 SSL 证书的站点,我的浏览器会向我发出警告。然而,同一个浏览器允许跨不安全的页面发送凭据是没有问题的。
为什么自签名证书比没有证书更糟糕?
我在与 HTTPS 相关的网站上遇到了很多奇怪的错误。这些网站在 FF 和 IE 中运行良好,但无法在 Chrome 中加载。看来,虽然我请求的是一个不安全的 URL (http),但谷歌浏览器会HTTPS:1向请求添加一个额外的标头。
这会导致某些服务器(可能是某些使用卸载 SSL 并提供共享主机的服务器)响应错误,因为服务器上没有 SSL。
我没有被重定向到安全页面 (HTTPS),而是源中的所有内部 URL 都被编辑为 https。
我已经检查了与 fiddler 的连接。这个解析不是在我的电脑上进行的,唯一的区别是这个HTTPS:1标题。
我创建了一个简单的 PHP 页面来打印$_SERVER变量。当我与铬访问它,我可以看到:[HTTP_HTTPS] => 1。我用 FireFox 看不到它。
我尝试清除所有数据,从我的谷歌帐户中取消配对 chrome,并从头开始删除和安装 Chrome。
有人对此有任何想法吗?它让我发疯。
我正在尝试使用以下方法为我们的负载均衡器 (Netscaler) 之一获取 SSL/TLS 证书:
openssl s_client -showcerts -connect lb.example.com:443
但它不会向我显示证书:
CONNECTED(00000003)
write:errno=54
使用-servername lb.example.com无济于事,我们的系统管理员告诉我我们的负载平衡器无论如何都不使用 SNI。
编辑:服务器位于我们的内部网上,不接受来自公共互联网的连接。这是 openssl 的输出-debug:
CONNECTED(00000003)
write to 0x7fec7af0abf0 [0x7fec7b803a00] (130 bytes => 130 (0x82))
0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 39 00 00 ......W... ..9..
0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0 8..5............
0020 - 00 00 33 00 00 32 00 …