标签: ssl

我在家里设置了 pihole，所以我希望能够使用我自己的服务器处理对任何网站的请求，以显示“此网站已被阻止”页面。

我试图通过为任何 url 创建自签名证书并将其安装在我的设备上来做到这一点。我用来生成证书的命令：

openssl genrsa 2048 > pihole.key
openssl req -new -x509 -nodes -days 36500\
    -key pihole.key \
    -subj "/C=NL/ST=Utrecht, Inc./CN=*" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:*,DNS:*")) \
    -out pihole.cert
openssl x509 -noout -fingerprint -text < pihole.cert > pihole.info
cat pihole.cert pihole.info > pihole.pem
service apache2 reload

我已经在我的 windows 设备上安装了这个证书，windows 显示它是一个有效的证书。

但是，chrome 给了我一个NET::ERR_CERT_COMMON_NAME_INVALID，edge 给了我一个类似的错误 ( DLG_FLAGS_SEC_CERT_CN_INVALID)

为什么是这样？难道CN = *只是不允许？我怎样才能达到我想要的？

因此，在得知Firefox 允许开发人员访问并查看 SSL 证书信息后，我很高兴地从 Chrome 切换到 Firefox 并安装了Certificate Watch。我必须排除该插件的站点，以阻止它在每次关闭浏览器时擦除其网络存储，但我注意到：SSL 证书的更改频率比我预期的要频繁。

现在serverfault.com是一个例外。它正在适当地更改证书（每 3 个月），这看起来完全正常并且绝对按计划进行。发行人没有改变或有任何奇怪的事情。

 serverfault.com Validity changed
 Stored:    From: 2021-09-15 10:07:09 (*20 days ago*)
 Until: 2021-12-14 09:07:08 (in 70 days)
 New:   From: 2021-10-04 13:19:09 (*1 day ago*)
 Until: 2022-01-02 12:19:08 (in 89 days)
 Fingerprint changed

但是superuser.com发生了什么？

superuser.com Validity changed
Stored: From: 2021-09-15 10:07:09 (20 days ago)
Until: 2021-12-14 09:07:08 (*in 70 days*)
New:    From: 2021-10-04 13:19:09 (*1 day ago*)
Until: 2022-01-02 12:19:08 …

尝试从 GoG 购买一些游戏，点击 Paypal 和 Chrome 显示我这个页面：

我不完全确定如何弄清楚这里发生了什么。我是比特币用户，所以我最直接的担心是我的网络/计算机以某种方式受到了损害。

任何帮助表示赞赏。

其他浏览器
无法通过 Wifi 在 Chrome 和 iPhone 中加载。
在 FF/IE 中在 PC 上加载良好，在 iPhone 上加载超过 4g

.cer 文件的副本：https :
//www.dropbox.com/s/wg5oczk8wgyjjcr/paypal_bitpay.cer

我试过的

• 重新安装 Chrome（没有帮助）
• 运行完整的病毒扫描（无威胁）
• 运行 Malwarebytes 扫描（无威胁）
• 将路由器更新到最新固件
• 更改了所有路由器密码
• 清除机器上的 SSL 状态
• 完全擦除 Chrome 缓存

问题依旧！

固定的

将 DNS 更改为 Google 的 (8.8.8.8)，现在可以使用了。任何想法为什么会这样？

我正在尝试在 nginx 中设置安全连接 (https)。

但是我有点担心私钥的权限，这在任何教程中都没有提到。

我应该改变它们吗？要什么？

谁能用简单的英语解释此错误消息的含义？

我应该添加例外还是不应该继续访问该网站？

技术细节：网址在这里，浏览器是 Firefox 14.0.1 on Ubuntu 12.04 LTS。

Konqueror 4.8.2 对同一链接说：
The certificate authority's certificate is invalid
The root certificate authority's certificate is not trust for this purpose

我正在通过 SSL 访问 Pandora 并注意到 URL 旁边的几个图标。首先是三角形中的感叹号，表示页面不完全安全：

旁边是盾牌？这个说不安全的内容被阻止了。

这些陈述，至少在我看来，似乎是相反的。谁可以给我解释一下这个？我的连接是否安全？

在 Windows 7 上通过 Firefox 30.0 访问。我还安装了HTTPS Everywhere。

我已virtio-win.repo根据本指南添加。内容/etc/yum.repo.d/virtio-win.repo是现在

[virtio-win-stable]
name=virtio-win builds roughly matching what was shipped in latest RHEL
baseurl=http://fedorapeople.org/groups/virt/virtio-win/repo/stable
enabled=1
skip_if_unavailable=1
gpgcheck=0

[virtio-win-latest]
[virtio-win-source]

最后两个[]与第一个具有相似的选项（这不是我的问题）。现在，当我运行时yum makecache，出现此错误

http://fedorapeople.org/groups/virt/virtio-win/repo/stable/repodata/repomd.xml: [Errno 14] problem making ssl connection

我试图运行wget http://fedorapeople.org/groups/virt/virtio-win/repo/stable/repodata/repomd.xml手动，但建议我补充--no-check-certificate到wget，这将解决这个问题。

我想知道如何在/etc/yum.repo.d/virtio-win.repo?

我想检查我的服务器是否禁用了 SSLv2。我通过尝试使用以下 shell 命令与 openssl 远程连接来做到这一点。

openssl s_client -connect HOSTNAME:443 -ssl2

我可以在 Internet 上找到的大多数文献都说，如果我看到类似于以下错误的内容，则 SSLv2 已正确禁用。

29638:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

在 Apache Apache 中禁用 SSLv2 的情况下连接到我的 Ubuntu 服务器时，我确实收到上述错误，但是当我在注册表中禁用 SSLv2 的情况下连接到我的 Windows Server 2008 R2 服务器时，我收到以下输出和错误。

CONNECTED(00000003)
write:errno=104

我找不到任何解释此输出和错误的文献。如果有人可以向我解释此输出和错误是否以及为什么意味着 SSLv2 已被正确禁用，我将不胜感激。

谢谢！

我们有一个带有 Apache mod_dav 的现有 WebDAV 安装，WebDAV 驱动器托管在 SSL 保护的 URL 上，具有 CA 颁发的证书和基本身份验证。MacOSX 和 Windows < 10 已经能够连接多年。

除了一台机器，新的 Windows 10 机器无法连接到这个 WebDAV 服务器。尝试映射网络驱动器会导致两次询问基本身份验证凭据，然后出现以下错误：

The mapped network drive could not be created because the following error
has occurred:

Mutual Authentication failed: The server's password is out of date at
the domain controller.

更具体地说，当“映射网络驱动器”对话框中的“完成”按钮被按下时，将要求输入用户名和密码 - 在尝试与 WebDAV 服务器建立任何类型的连接之前会显示此对话框。输入有效的用户名和密码，此时会出现大约 6 秒的延迟，同时显示“正在尝试连接”对话框。在此延迟之后，单个请求到达 WebDAV 服务器，如下所示：

PROPFIND /shared HTTP/1.1
Host: 127.0.0.1:8022
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.10586
translate: f
X-Forwarded-For: xx.xx.xx.xx
X-Forwarded-Host: x.x.x
X-Forwarded-Server: x.x.x
Connection: Keep-Alive

上述请求不包含身份验证标头，因此 WebDAV …

我一直在openssl为我的网站创建密钥和证书。这工作正常，但会导致浏览器的投诉。

现在我想转移到 Let's Encrypt 以获得适当的证书。

设置非常简单，我安装了 certbot 并按照他们网站上的教程进行操作。

我很惊讶地看到它certbot应该与 flag 一起使用certonly。直观地说，这应该意味着只创建了一个证书。它应该在设置过程中询问我现有的密钥。相反，它不会创建新证书和新密钥。

sudo certbot certonly --standalone -d xxxx

...

Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem

....

但是这个键似乎不存在。如果我将路径输入我的服务器，它会抱怨找不到密钥。

我的证书有读取权限问题，通过这个问题解决：https : //serverfault.com/questions/773440/lets-encrypt-ssl-certificate-file-not-found-error-but-still-working

解决方案是更改访问权限。

但是我对用我的私钥做这件事犹豫不决。互联网安全是如此复杂，恐怕我真的不知道更改与私钥一样重要的权限的后果。

我应该如何使用新生成的证书。我在哪里可以找到相应的私钥，我是否必须应用其他配置？