标签: ssl

这与上一个问题类似，但我相信它有点不同^*。

GMail 等站点支持通过站点的 SSL 版本而不是纯文本协议推送所有流量的首选项。

对于不提供此类首选项的站点（或可能提供但我一直无法找到的站点，例如 facebook），是否可以仅使用浏览器（可能带有插件或插件）来始终先尝试SSL，并且如果SSL 失败，回退到纯文本？

该解决方案是否适用于 Windows、Mac OS X 和 Linux？只有一个？

^{_{* 上一个问题是寻找能够实现此目标的外部应用程序。}}

由于旧的过期，我刚刚在我的网站之一上更新了证书。新证书在 Internet Explorer 9、Chrome 和 Firefox 4 中验证良好 - 但是当尝试使用 TortoiseSVN 浏览/检出存储库时，我收到以下错误：

Error validating server certificate for https://xxx.xxx.com:443:
Unknown certificate issuer.
 Fingerprint: 96:b3:fa:19:bd:4a:ec:c2:bc:19:33:b8:25:2a:0a:47:28:41:07:d0
 Distinguished name: (c) 2009 Entrust, Inc., www.entrust.net/rpa is incorporated by reference, Entrust, Inc., US
Do you want to proceed?
Accept permanently | Accept once | Reject

单击永久接受将起作用，但这不太理想。这个问题似乎与 TortoiseSVN 而不是证书有关，它在http://sslinstallcheck.entrust.net/SIC/jsp/MainWebAddress.jsp和http://www.digicert.com/help/ 上检查得很好。

关于可能出什么问题的任何想法？

在最近的两篇关于安装在机器上的有问题的根证书的Slashdot 文章（#1 #2）之后，我决定仔细看看我在我的机器上安装了什么。
（我在 Win7 上使用当前版本的 Chrome，据我所知使用的是 Windows 的 CA 列表）

我发现的真的让我很惊讶。

• 两台相对干净的机器具有截然不同的 CA 列表。
• 每个人都有许多 CA 已于 1999 年和 2004 年到期！
• 许多 CA 的身份并不容易理解。

我还看到许多证书在 2037 年到期，也就是 UNIX 更新前不久，大概是为了避免任何目前未知的 Y2K38 类型的错误。但是其他证书的有效期更长。

我四处搜索，但有点令人惊讶的是，找不到普遍接受的 CA 的规范列表。

• 如果我的机器上有 MITM 流氓证书，我怎么知道？
• 是否存在“已接受”证书列表？
• 删除过期的 CA 是否安全？
• 我可以知道我是否/何时曾将 CA 用于 HTTPS？

对于内部使用，我们有一个使用自签名不安全 SSL 证书的系统，让 Chrome 在每个会话中警告我：

你的连接不是私人的

攻击者可能试图从 log.hive.stage.dreamlines.nl 窃取您的信息（例如，密码、消息或信用卡）。NET::ERR_CERT_AUTHORITY_INVALID

我总是必须点击Advanced然后Proceed to my-custom-site.foo (unsafe)。我不想在每次会议上都这样做。我知道风险，我总是希望信任特定域的不安全证书。

如何在 Chrome 中禁用特定 URL 的警告？我不想允许所有不安全的内容，它应该是一个白名单。

在 Chrome 中，当我查看我的页面https时，URL 中有一个红色斜杠。当我点击它时，它说：

您与 www.example.com 的连接使用 256 位加密进行加密。但是，此页面包含其他不安全的资源。...

我在 IE 或 FF 中没有收到混合内容警告。

有没有办法让 Chrome 准确地告诉你是什么/哪里导致了这个问题？

我无法找到导致 Chrome 发出嘶嘶声的原因。我在我的源中搜索了任何不包含 https但没有看到的http 。如果有一种简单的方法可以查明问题，那就太好了。

当 Chrome 访问页面上包含一些不安全内容的页面时，它会在 https:// 中放置一个斜线并表示情况就是如此。不通过页面源代码如何找到不安全的内容？

不久前，我用openssl genrsa -aes256 4096 > server.key. 该过程会提示输入密码短语。我现在想更改那个密码短语，这可能吗？

正如标题所说，当我尝试通过家庭网络通过自制软件安装软件包时，出现以下错误：

curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to akamai.bintray.com:443 
Error: Failed to download resource "rclone"
Download failed: https://homebrew.bintray.com/bottles/rclone-1.38.high_sierra.bottle.tar.gz

但是，我可以通过浏览器从指定的 .tar.gz URL 下载。

我知道这只是我的家庭网络的问题，因为当我绑定手机时它工作正常。

可能与我的路由器设置和/或 ISP 有关，但我不确定在哪里查看。

谢谢您的帮助！:)

我似乎缺少 SSL 协议。它没有出现在首选项菜单中，Wireshark 也没有从我尝试的任何程序中捕获任何 SSL 数据包。我在尝试设置一个基本的 OpenSSL 服务器时也有一次失败的握手，但我不确定这是否是问题的一部分，因为我什至没有费心去修复它。

Windows 7，Wireshark 的最新版本。真的不确定还要添加什么，尝试在谷歌周围搜索无济于事。任何帮助表示赞赏！

我正在 Wireshark 中查看 TLS v1.3 标头，但不确定在哪里可以找到用于确认服务器是他们声称的服务器证书。

客户端发送 Hello，然后服务器发送带有两个 TLS 记录层的 Hello，并发送另一个应用程序数据。

但这些都不包含任何有关证书的内容。客户端发回更改密码规范。并且仅传输应用程序数据后，该数据现在显然已加密。

正如 Mike Pound 在这个 Computerphile 视频https://www.youtube.com/watch?v=86cQJ0MMses中所建议的，服务器的证书和数字签名在哪里。视频中建议的“Server Hello Done”位置在哪里。

编辑：

我可以在 TLS v1.2 中看到证书，但在 TLS v1.3 中看不到证书