标签: tls

如何检索特定网站提供的 SSL/TLS 密码套件列表？

我试过 openssl，但如果你检查输出：

$ echo -n | openssl s_client -connect www.google.com:443 
CONNECTED(00000003)
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END …

我想通过 SSL、HTTPS 和其他基于 SSL/TLS 的安全基于文本的 Internet 协议测试客户端与 IMAP 的连接，就像我使用 telnet 或 netcat 如果它们没有通过安全协议进行隧道连接一样。有没有办法让 telnet 或 netcat 通过 SSL/TLS，例如使用管道或备用程序？

有没有办法指定 curl 使用特定的 TLS 版本？像 1.1 还是 1.2？我在命令帮助中只能看到 sslv3 和 tlsv1 选项。我拿了最新的 src 并用 openssl 1.0.1e 编译它。仍然没有在帮助中看到直接选项。有没有其他方法可以设置？

我有一台运行 glassfish 3.1.2 应用服务器的 linux centos 服务器。来自 GlassFish 安装的端口 4848 和 8181 的默认证书是 1024 位。我需要用 2048 位版本替换这些。寻求帮助以创建执行此操作的 keytool 命令行代码。

我在这里找到了证书：

# keytool -list -keystore keystore.jks
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   glassfish-instance, Feb 7, 2012, PrivateKeyEntry, 
   Certificate fingerprint (SHA1): 40:...:46
   s1as, Feb 7, 2012, PrivateKeyEntry, 
   Certificate fingerprint (SHA1): 3C:...:FC

这是最初于 2010 年 4 月 26 日在https://answers.launchpad.net/vm/+question/108267上提出的问题。

它询问应该如何在 MS Windows 上配置 Emacs 邮件发送包，以便与需要 TLS 和 STARTTLS 的安全 SMTP 服务器（例如 gmail）一起使用。原始问题复制如下。

• 我安装了 Cygwins gnutls。

• 在 .emacs 中写道：

  (setq send-mail-function 'smtpmail-send-it
    message-send-mail-function 'smtpmail-send-it
    smtpmail-starttls-credentials
    '(("smtp.gmail.com" 587 nil nil))
    smtpmail-auth-credentials
    (expand-file-name "~/.authinfo")
    smtpmail-default-smtp-server "smtp.gmail.com"
    smtpmail-smtp-server "smtp.gmail.com"
    smtpmail-smtp-service 587
    smtpmail-debug-info t)
  
  (require 'starttls)
  (setq starttls-use-gnutls t)
  (setq smtpmail-debug-info t)
  (setq smtpmail-debug-verb t)
  (require 'smtpmail)
  

  Run Code Online (Sandbox Code Playgroud)

• 我使用 gmail 凭据创建了“~/.authinfo”文件。

• 我删除了 starttls.elc，所以编译后的版本不会被 emacs 加载。

• 我替换(signal-process (process-id process) 'SIGALRM)为

  (call-process "g:\\www\\cygwin\\bin\\kill.exe" nil nil nil …

  Run Code Online (Sandbox Code Playgroud)

以 Verisign 的网站为例，它有一个带有 sha1 哈希签名的根 CA。我是否错误地理解为发现冲突，他们可以模拟 Verisign 根 CA，并使用它来生成浏览器或操作系统信任的中间证书和服务器证书。

https://www.entrust.com/need-sha-2-signed-root-certificates/ 指出：

简而言之，由于软件直接信任根证书公钥，因此不会验证根证书上的签名。根证书是自签名的，不是由另一个已被授予权限的实体签名的。根证书通过操作系统或浏览器开发者管理的根证书程序获得授权。

并引用 Google 链接：https : //security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html

注意：可信根证书的基于 SHA-1 的签名不是问题，因为 TLS 客户端通过他们的身份而不是他们的哈希签名来信任它们

假设我是一个新浏览器 - SuperUserBrowser 的作者。除了哈希签名之外，我还能如何相信我的浏览器附带的根证书是真实的？

为什么具有 SHA1 签名的根 CA“不是问题”？

我将 Chrome 中的本地主机 TSL/SSL 证书存储到 .PEM 文件中。想知道如何使用 oppenssl 命令将其解码为人类可读字段的列表。

谷歌搜索仅返回有关如何使用私钥的信息。

有一些用于解码公钥的在线实用程序，但我需要一种可以使用 Python 以编程方式轻松访问的方法。无论如何，我找不到使用库来执行此操作，所以我认为 openssl 命令可能有效。

.PEM 文件中的公钥文本是可在在线解码实用程序中使用的标准公钥格式。

谢谢你！

我最近按照 linode.com ( https://library.linode.com/email/postfix/postfix2.9.6-dovecot2.0.19-mysql )上的说明设置了一个邮件服务器，但我使用的是 postgreSQL 而不是 mySQL。

除了我无法从我的邮件客户端 (Mac Mail) 向外部地址发送电子邮件之外，关于服务器的一切都正常工作。当我尝试向外部地址发送消息时，我从 postfix 收到以下错误：

NOQUEUE: reject: RCPT from comcast.net[174.51.xxx.xx]: 554 5.7.1 <user@somewhere.external.com>: Relay access denied; from=<user@mydomain.com> to=<user@somewhere.external.com> proto=ESMTP helo=<[10.0.0.15]>

（注意我编辑了 from ip 地址）

我已将其配置为使用 dovecot 作为身份验证机制。在 dovecot 日志中，我得到：

Oct 23 16:44:31 auth: Debug: client in: AUTH    2   PLAIN   service=smtp    nologin lip=50.116.xx.xx    rip=174.51.xxx.xx   secured resp=<hidden>
Oct 23 16:44:31 auth: Debug: sql(user@mydomain.com,174.51.xxx.xx): query: SELECT email as user, password FROM virtual_users WHERE email='user@mydomain.com';
Oct 23 16:44:31 auth: Debug: client out: OK 2   user=user@mydomain.com …

关于 chaim.pem 文件的一般问题；我使用从我的主机获取的 csr，并使用 LetsEncrypt 的 Certbot 生成 https 证书；我使用了以下命令

$ certbot certonly --manual --csr file-with-my-csr.txt

certbot生成了3个文件0000_cert.pem、0000_chain.pem、0001_chain.pem；然后，我使用 cert.pem 文件将证书安装回我的主机；一切都进行得相当顺利；

我的问题是“链”文件的用途是什么，因为我没有在任何地方使用它们；它们在什么场景下会有用？

我正在 Wireshark 中查看 TLS v1.3 标头，但不确定在哪里可以找到用于确认服务器是他们声称的服务器证书。

客户端发送 Hello，然后服务器发送带有两个 TLS 记录层的 Hello，并发送另一个应用程序数据。

但这些都不包含任何有关证书的内容。客户端发回更改密码规范。并且仅传输应用程序数据后，该数据现在显然已加密。

正如 Mike Pound 在这个 Computerphile 视频https://www.youtube.com/watch?v=86cQJ0MMses中所建议的，服务器的证书和数字签名在哪里。视频中建议的“Server Hello Done”位置在哪里。

编辑：

我可以在 TLS v1.2 中看到证书，但在 TLS v1.3 中看不到证书