标签: ssl

在 Chrome 中，当我查看我的页面https时，URL 中有一个红色斜杠。当我点击它时，它说：

您与 www.example.com 的连接使用 256 位加密进行加密。但是，此页面包含其他不安全的资源。...

我在 IE 或 FF 中没有收到混合内容警告。

有没有办法让 Chrome 准确地告诉你是什么/哪里导致了这个问题？

我无法找到导致 Chrome 发出嘶嘶声的原因。我在我的源中搜索了任何不包含 https但没有看到的http 。如果有一种简单的方法可以查明问题，那就太好了。

当 Chrome 访问页面上包含一些不安全内容的页面时，它会在 https:// 中放置一个斜线并表示情况就是如此。不通过页面源代码如何找到不安全的内容？

由于我将 Firefox 升级到版本 38，我在网站https://usercenter.checkpoint.com/上发送某个表单时遇到问题，大多数网站正常运行，但在打开支持票时发送表单（以下日志中的 URL） ) 导致 Firefox TLS 协商失败。Firefox 的错误页面几乎没有解释：

安全连接失败

加载页面时，与服务器的连接已重置。

• 由于无法验证接收到的数据的真实性，因此无法显示您尝试查看的页面。
• 请联系网站所有者以告知他们此问题。

报告这个错误

报告 usercenter.checkpoint.com 的地址和证书信息将有助于我们识别和阻止恶意站点。感谢您帮助创建更安全的网络！

将来自动报告错误 了解更多...

在Web 开发人员控制台中，我只看到以下内容：

19:58:44.470 This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.1 AjaxCall
19:58:44.589 POST https://usercenter.checkpoint.com/usercenter/portal/js_pane/supportId,CreateServiceRequestId [178ms]

第一行只是警告，将来将不支持 SHA-1。我是否必须打开某些东西才能查看 TLS 失败的原因？来自控制台的 TLS 和证书信息如下：

我看不出有什么问题。出于绝望，我尝试使用 TLS 参数about:config但没有成功：

security.tls.insecure_fallback_hosts
security.tls.unrestricted_rc4_fallback
security.tls.version.fallback-limit
security.tls.version.max
security.tls.version.min

Qualy SSL 测试没有显示任何完全错误：https ://www.ssllabs.com/ssltest/analyze.html?d=usercenter.checkpoint.com

Red Hat 知识库中有一篇很有前途的文章： …

我的工作场所充满了没有有效 SSL 证书的内部网站。几乎随着 Chrome 或 Firefox 的每次更新，这些浏览器越来越难以忽略这些错误（不再有“添加安全例外”按钮）。结果，有很多我无法使用的网站。

我已经在网上搜索了在任一浏览器中禁用证书检查的方法，但是有太多过时的答案，我找不到最新的答案。

我正在使用 Firefox 45.4.0 和 Chrome 54.0，我无法绕过的错误之一是来自 Firefox：

An error occurred during a connection to [site]. Peer's Certificate has been revoked. Error code: SEC_ERROR_REVOKED_CERTIFICATE

与 IT 人员交谈以修复所有服务的所有证书并不是一个真正的选择，我了解绕过安全性的风险。有没有办法忽略各种证书问题？

如果可能的话，我真的在考虑安装旧版本的浏览器。

在创建新的证书颁发机构，手动将 CA 链导入浏览器，并验证浏览器可以信任与中介签署的新证书后，我们将 CA 证书链（pem 和 crt 格式）复制到以下目录下的 Ubuntu 服务器：

• /etc/ssl/证书/
• /usr/local/share/ca-certificates/

然而，一旦完成，Ubuntu 机器上的应用程序（如 wget/curl/java）仍然不信任使用新证书的连接。根据另一篇文章，我们需要在拥有证书的每台机器上运行dpkg-reconfigure -f noninteractive ca-certificates或update-ca-certificates。这些命令不仅不起作用，而且在数千台服务器上运行它们也是不切实际的。我们使用 CFEngine 进行配置管理，但据我所知，它似乎没有这种功能。

有没有办法编写 Ubuntu 脚本以非交互式更新受信任的 CA 证书，这种方式可以在数千台机器上运行？

我为本地开发创建了一个自签名 SSL 证书。访问页面时，出现NET::ERR_CERT_AUTHORITY_INVALID错误。但是当我尝试将它导入 Chrome ( chrome://settings/certificates ) 时，它失败了：

该文件包含一个未导入的证书：

• mylocalwebapp.dev：不是证书颁发机构

这是我为创建证书而运行的命令：

openssl req -new -x509 -nodes \
 -extensions SAN \
 -reqexts SAN  \
 -days 365 \
 -newkey rsa:2048 \
 -keyout /etc/ssl/private/apache-selfsigned.key \
 -out /etc/ssl/certs/apache-selfsigned.crt \
 -config <(cat /etc/ssl/openssl.cnf <(printf '[SAN]\nsubjectAltName=DNS:mylocalwebapp.dev'))

我添加了 SAN 选项，因为从版本 58 开始，Chrome 不接受没有 SAN 的选项。它适用于 Chrome 57，并且仍然适用于 Firefox。

如何让我的自签名证书在 Ubuntu 17.04 上的 Chrome 58 上运行？

我在加载/安装内核模块时遇到问题。内核模块成功构建，但是每当我尝试进行 module_install 时，内核似乎都无法加载。它留下以下错误消息：-

At main.c:158:
    - SSL error:02001002:system library:fopen:No such file or directory: bss_file.c:175
    - SSL error:2006D080:BIO routines:BIO_new_file:no such file: bss_file.c:178 sign-file: certs/signing_key.pem: No such file or directory
    DEPMOD 4.10.0-20-generic

我已经阅读了这个问题，并意识到内核现在已经开始只加载正确签名的模块。我发现/usr/src/<linux version>/certs我系统中的内核源目录没有signing_key.pem私钥文件，因此我看到了这个错误。

我该怎么办 ？我可以手动生成一个signing_key.pem文件并进一步使用它吗？有什么好的方法可以这样做？openssl.cnf在这方面，使用生成私钥/证书文件对我有帮助吗？或者我应该完全避免使用签名模块并尝试在没有任何验证的情况下加载模块？

我将Ubuntu 17.04 与内核 4.10.0-20-generic 一起使用。

我了解如何获取安装到证书存储中的证书的指纹，但是我希望有一种方法可以获取证书文件的该信息。

例如，我有 c:\temp\mycert.com.cer...我如何从该文件中获取指纹？有可能吗？谷歌并没有提供太多帮助。我一直在 powershell 中这样做，以便从证书存储中获取此信息，但同样 - 我需要从证书文件中获取此信息。

$certCN = mysite.com
$cert = Get-ChildItem cert:\LocalMachine\My -Recurse | where {$_.subject -like "*CN=$certCN*"} | where {$_.ExpiringInDays -lt "91"}
$thumbprint = $cert.thumbprint

我的网站有一个有效的证书，但 Chrome 将其标记为不安全。

我使用 Brave 和 Firefox 尝试了我的网站，并且都将其标记为安全。

我还运行了这个在线测试，一切看起来都很好：

https://mxtoolbox.com/Pro/#/lookup/https:beauchamp.me

我在 MacBook Pro 上运行版本 69.0.3497.100（Build officiel）（64 位）。

在我读到的某些线程中，如果我的计算机上的日期和时间不正确，则可能会发生这种情况，但它们是正确的。

我需要导入一个证书文件来Trusted Root Certification Authorities存储，以在访问我的本地网站时摆脱 SSL 警告。我目前这样做的方式很长：使用谷歌浏览器？设置？先进的 ？隐私和安全 ? 管理证书 ? 受信任的根证书颁发机构 ? 进口...

它看起来像是某种 Windows 管理单元，而不是 Chrome 的自定义窗口。执行所有这些步骤只是为了导入 1KiB 证书文件是愚蠢的。我可以在 PowerShell 上执行此操作，以便可以通过脚本自动执行此操作吗？或者至少如何在没有 Google Chrome 的情况下打开上述窗口？