关于 chaim.pem 文件的一般问题；我使用从我的主机获取的 csr，并使用 LetsEncrypt 的 Certbot 生成 https 证书；我使用了以下命令

$ certbot certonly --manual --csr file-with-my-csr.txt

certbot生成了3个文件0000_cert.pem、0000_chain.pem、0001_chain.pem；然后，我使用 cert.pem 文件将证书安装回我的主机；一切都进行得相当顺利；

我的问题是“链”文件的用途是什么，因为我没有在任何地方使用它们；它们在什么场景下会有用？

我正在使用 Charles Proxy 检查来自我的 Android 应用程序的流量。我将电话配置为通过安装在我 PC 上的 Charles 代理所有流量。

到目前为止，除了 websocket 流量外，一切都正常（HTTP/HTTPS 流量）。我一直无法在 Charles 和 Fiddler 中检查它。首先，CONNECT 请求失败如下：

URL https://184.73.XX.XX/
Status  Failed
Failure Invalid first line in request
Response Code   -
Protocol    HTTP/1.0
Method  CONNECT
Content-Type    -
Client Address  /192.168.0.10
Remote Address  184.73.XX.XX/184.73.XX.XX

在此请求之后，发送了一个额外的请求来升级连接，如响应所示，该请求似乎是成功的：

HTTP/1.1 101 Switching Protocols
Server: nginx
Date: Sun, 16 Feb 2014 02:04:33 GMT
Connection: upgrade
Upgrade: websocket
Sec-WebSocket-Accept: CKm+rgmiltNrbQvwU2HzKHzr2eM=

之后，即使活动继续，来自应用程序的流量也会停止出现。那么，代理未捕获的 websocket 流量是什么？另外，我如何捕获它以查看来回发送的内容？

我尝试过 Wireshark，我看到 TLS 流量在 CONNECT/升级请求后继续，但我不知道如何将数据包重建为我可以理解的内容，以及如何解密 TLS 加密流量。

我正在使用以下命令对启用了 sni 的服务器运行 curl

curl --cacert CustomCA.crt -H "Host: example.com" https://1.2.3.4/foo

但是，我没有得到正确的证书，其中通用名称 (CN) 设置为 example.com（因此证书验证失败）。我知道 SNI 配置是正确完成的，因为我看到在通过 Web 浏览器访问时提供了正确的证书。以防万一，我目前的环境是

> curl --version
curl 7.35.0 (x86_64-pc-linux-gnu) libcurl/7.35.0 OpenSSL/1.0.1f zlib/1.2.8 libidn/1.28 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp smtp smtps telnet tftp 
Features: AsynchDNS GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP 
> lsb_release -a
LSB Version:    core-2.0-amd64:core-2.0-noarch:core-3.0-amd64:core-3.0-noarch:core-3.1-amd64:core-3.1-noarch:core-3.2-amd64:core-3.2-noarch:core-4.0-amd64:core-4.0-noarch:core-4.1-amd64:core-4.1-noarch:security-4.0-amd64:security-4.0-noarch:security-4.1-amd64:security-4.1-noarch
Distributor ID: Ubuntu
Description:    Ubuntu 14.04.1 LTS
Release:        14.04
Codename:       trusty

编辑：我忘了提到没有将 example.com …

我使用 Firebug 和 cURL 已经有一段时间了。

Firebug 捕获 HTTPS POST 请求是惊人的，而不是网络分析器，因为它知道 SSL/TLS 协商。cURL 在修改参数后重新发送该 POST 请求是令人惊奇的。

当我使用 firebug 时，我“复制为 cURL”一个（HTTPS）POST 请求，并从终端重放它。

但是，当我在终端中重播时，我看到的响应是加密的。

问题：

• 我可以解密那个终端输出吗？
• 我可以在浏览器 (firefox) 中注入该 cURL POST 以查看解密的 WebServer 响应吗？

谢谢

我们有一个运行 TLS v1.0 的客户端/服务器，并在初始握手后不断从客户端获取加密警报 21。他们正在使用密码块链接，我已经阅读了块密码输入长度与块长度的倍数以外的其他内容不同的地方会导致解密失败警报，但是我如何\在哪里找到这些值以确定这是否是真实的警报的原因？

我在下面附上了握手序列......谢谢......感谢它

安全链路层

TLSv1 Record Layer: Handshake Protocol: Client Hello ##
    Content Type: Handshake (22)###
    Version: TLS 1.0 (0x0301)
    Length: 254
    Handshake Protocol: Client Hello
        Handshake Type: Client Hello (1)
        Length: 250
        Version: TLS 1.2 (0x0303)
        Random
            GMT Unix Time: Jun 25, 1983 13:56:23.000000000 Eastern Daylight Time
            Random Bytes: 2761896c45978dc3868cd4858d7a3d5749f7218e40f5fd3f...
        Session ID Length: 0
        Cipher Suites Length: 100
        Cipher Suites (50 suites)
        Compression Methods Length: 1
        Compression Methods (1 method)
        Extensions Length: 109
        Extension: ec_point_formats
        Extension: …

是否可以防止用户绕过浏览器中显示的证书警告？如果可以，如何防止？

假设我们无法控制远程服务器，但可以完全控制客户端计算机。

该问题与 Chrome 网络浏览器有关。

使用 filezilla 连接到我的 Web 服务器时，出现此错误：

Status: Resolving address of ftp.mysite.org.in
Status: Connecting to 199.199.199.18:21...
Status: Connection established, waiting for welcome message...
Response:   220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Response:   220-You are user number 1 of 150 allowed.
Response:   220-Local time is now 17:58. Server port: 21.
Response:   220-This is a private system - No anonymous login
Response:   220-IPv6 connections are also welcome on this server.
Response:   220 You will be disconnected after 5 minutes of inactivity.
Command:    AUTH TLS …

内置邮件应用程序似乎不支持在标准 IMAP 端口 143 上使用 IMAP 的 STARTTLS 的 TLS。这是我的电子邮件服务器提供的唯一选项，它适用于我曾经使用过的所有其他电子邮件客户端。

在 UI 中有一个名为 SSL 的选项，它坚持使用旧端口 993。

有人可以证实这一点吗？

我们STARTTLS用户有什么希望吗？

我们的管理员为我们的 rt 服务器创建了一个新证书。从那以后，我SSL_ERROR_BAD_CERT_DOMAIN在 Firefox 中遇到错误。但是，该网站可通过 Chrome 和 curl 运行。

该证书由我们的内部 CA (freeipa) 签署，为此我已在我的机器上安装了公共证书。由我们内部 CA 签名的其他站点可以正常工作。

这是来自 Firefox 的调试信息：

https://rt.lsd.co.za/

Unable to communicate securely with peer: requested domain name does not match the server’s certificate.

HTTP Strict Transport Security: false
HTTP Public Key Pinning: false

Certificate chain:

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

Firefox 的版本是 51，在 Arch linux 上运行。

这是来自的输出openssl s_client …

我可以将 PostgreSQL 配置为拒绝 TLS 连接，除非它们是 v1.2 或更高版本吗？

如果是这样，我可以获得文档链接或说明吗？