我刚刚在我的 whm/cpanel 设置中的主域上设置了 SSL,该域有自己的 IP,并且一切正常启动并运行。
然而当我使用 Chrome 浏览该网站时,出现以下信息:
您与 example.com 的连接已使用 256 位加密技术加密。但是,此页面包含其他不安全的资源。其他人可以在传输过程中查看这些资源,攻击者可以修改这些资源以更改页面的行为。
该连接使用 SSL 3.0。
该连接使用 AES_256_CBC 加密,使用 SHA1 进行消息认证,使用 DHE_RSA 作为密钥交换机制。
连接未被压缩。
必须使用 SSL 3.0 重试连接。这通常意味着服务器正在使用非常旧的软件,并且可能存在其他安全问题。
我已经检查了 WHM > 服务器配置 > Apache 配置 > 全局配置
并且 SSL 密码套件设置为以下值(建议):
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended
我还有以下 SSL 报告:http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=https%3A%2F%2Fmostplays.com%2F&protocol=https
当我显示一个只有标题的空白 html 文件时也会出现此错误,因此它不是来自外部来源的包含。
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Test Secure</title>
</head>
<body>
<h1>Test Secure</h1>
</body>
</html>
我检查了服务器软件,它使用的是 openSSL 0.9.8e,这可能是一个因素吗?
我做错了什么?还有其他设置可以帮助诊断问题吗?
答案1
然而,此页面包含其他不安全的资源。这些资源在传输过程中可被他人查看,攻击者可对其进行修改,从而改变页面的行为。
在 Chrome 中打开开发者工具面板(查看 -> 开发者),然后转到网络选项卡。它将列出正在加载的所有内容。此外,点击右下角的警告/错误图标。它们将打开错误列表,包括以下消息:
- ... 处的页面显示来自 http://... 的不安全内容
- 不安全的 JavaScript 尝试使用 URL 访问框架https://.../来自 URL 为 http://... 的框架。域、协议和端口必须匹配
最有可能的是,这些内容来自广告中嵌入的框架和内容。一旦您在网络选项卡的列表中找到了“违规”资源,“发起者”列应该会为您提供有关加载它们的线索。
必须使用 SSL 3.0 重试连接。这通常意味着服务器正在使用非常旧的软件,并且可能存在其他安全问题。
确保您拥有这个(除了指令之外SSLCipherSuite
):
SSLProtocol all -SSLv2
答案2
为了避免出现该警告,所有包含的元素(图像、文件等)都必须使用 HTTPS 连接。查看页面源代码并查找 http:// - 指向其他页面的链接(<a href="...
)没有问题,但指向文件(<img src="...
等)则不行。
答案3
以下命令可httpd.conf
阻止所有错误:
SSLProtocol -SSLv2 +SSLv3 +TLSv1
SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM