tls
在 Chrome 中允许特定的弱密码
我必须连接到使用弱 TLS 密码的系统: TLS_RSA_WITH_AES_256_CBC_SHA。 这是物理设备中的嵌入式 Web 服务器,没有固件可用于更改该密码。制造商提供的唯一解决方案是“禁用 TLS”。出于(明显的)安全原因,这不是一个选项。 当我尝试连接 Chrome 时,收到“ERR_SSL_PROTOCOL_ERROR”。 有什么方法可以告诉 Chrome 我想允许该特定密码? ...
tls
tls
如何手动连接到我的 Web 服务器并发送带有主机名的 TLS 握手,然后发送带有不同主机名的 HTTP 请求标头
我的 Apache Web 服务器日志出现可怕的错误: [ssl:error] AH02032: Hostname www.example.com provided via SNI and hostname example.com provided via HTTP are different 我知道这意味着什么以及为什么会发生。 我需要手动重现日志中的错误。这就是我所要求的。 我该怎么做? 更具体地说,我需要查看我的 Web 服务器升级是否仍记录这些事件,如果是,则采取措施将它们从我的日志文件中过滤掉。 我知道的是:我需要在 TLS 握手中www.ex...
tls
从网站收到错误的 TLS 证书
这是一个奇怪的问题,(到目前为止)只出现在 plex.tv 网站上。我在网络上的各种设备上都看到了同样的问题。最终,只需尝试访问https://plex.tv在我的浏览器中,导致与 TLS 证书相关的安全错误。经过进一步挖掘,似乎服务器为该网站提供了不正确的 TLS 证书(结果不一致): $ openssl s_client -servername plex.tv -connect plex.tv:443 2>/dev/null </dev/null | openssl x509 -text Certificate: Data: ...
tls
如果没有 SNI,则不会返回服务器问候语
我设置了一个启用了代理服务器 (squid) https_port。当我使用类似 的 URLdomain.com或甚至使用主机别名(即手动写入/etc/hosts)向此服务器发送请求时,没有任何问题,一切正常。使用服务器的 IP 地址向服务器发送请求时会出现问题。在这种情况下,请求在Client Hello阶段后挂起。 这两种情况之间的唯一区别是第二种类型的请求不包含服务器名称指示(SNI)扩展,但我见过其他没有 SNI 的示例。 我应该怎么做才能使 TLS 握手对所有请求都有效? ...
tls
尽管强制使用 TLS1.0,但仍在使用 TLS1.2
我有一位客户正在尝试连接到我公司的 FTP 服务器,我们要求他强制使用 TLS1.0,他已通过 curl 请求(curl 版本:7.29.0)完成了此操作。然而,尽管 curl 是最新版本,并且强制使用 tls1.0,但连接仍然使用 tls1.2。 您知道为什么会发生这种情况吗?我想知道这是否可能是由于两种协议使用不同的端口造成的?我们的最后解决方案是要求我们的安全或系统团队检查 FTP 服务器的配置以允许来自 tls1.0 的连接,但我们希望避免这种情况。 提前感谢您的帮助,如果还有不清楚的地方请告诉我,我可以提供输出 ...
tls
Let's Encypt、Firefox、Peer 的证书颁发者无法被识别
我最近将我的 TLS 终止从后端服务器移回我的反向代理,并且遇到了这个非常具体的问题。 当连接到我的 nextcloud 网站时,firefox 显示SEC_ERROR_UNKNOWN_ISSUER。 有关错误的更多信息(证书信息在底部): https://nextcloud.domain.com/ Peer’s Certificate issuer is not recognized. HTTP Strict Transport Security: false HTTP Public Key Pinning: false 奇怪的是,这个问题不会出...
tls
如何检查我的 Windows 7 是否支持 TLS 1.2?
我继续阅读https://helpx.adobe.com/x-productkb/multi/eol-tls-support.html#win7(镜子 1,镜子 2): 您的操作系统和应用程序框架也必须支持 TLS 1.2。如果 如何检查我的 Windows 7 是否支持 TLS 1.2?我使用 Windows 7 SP1 x64 Ultimate。 ...
tls
在 Windows 7 上强制使用 TLS 1.2
问题是关于强制 Win7 仅使用 TLS 1.2。(是的,我知道 Win7 不再有补丁,别介意。) 根本问题是 Ubisoft Connect 无法正常工作。我认为日志表明这与使用错误版本的 TLS 有关。日志: Http status code is 404 for url https://wallet.ecom.ubi.com/... Http status code is none for url https://channel-service.upc.ubi.com/... (HTTP 状态代码为无?日志文件中的其他调用正常工作,这表明请求本身存...
tls
如何配置 Google 以仅搜索 SSL/TLS 加密的网站?
有没有办法将 Google 搜索引擎配置为仅搜索 SSL/TLS 加密的网站? 我的意思是,当我用 Google 搜索某些内容时,搜索结果中应该只显示具有有效 HTTPS 证书的网站。这样,我希望只与每个网站进行加密通信。 我找到了类似 Google 可编程搜索引擎的东西。我现在正在努力配置要搜索的网站的 HTTPS 模式(见下面的屏幕截图)。 但我认为 Google 可编程搜索引擎不是我想要的,因为它看起来更像是一个可以集成到我的网站中的自定义 JavaScript-Widget。 ...
tls
为所有用户禁用 Java 中的“TLS 证书吊销检查”
如果有人问到这个问题,我很抱歉,因为我对 Java 还只是个新手。 我们目前正在 Windows 10 中运行 JRE 8 Update 211 32 位(我知道这不是最新版本)。 我目前正在尝试找到属性键(定义)以禁用 TLS 证书吊销检查,以便在 Deployment.Properties 文件中定义。 我已成功找到其中的一部分: deployment.security.revocation.check=NO_CHECK deployment.security.revocation.check.locked 它做了以下事情: Java 控制面板 从屏幕...
tls
使用 cURL 进行相互认证 SSL(mTLS)时调试 HTTP 403 禁止
我是安全方面的新手,但我正在尝试通过相互身份验证向服务器发送请求。我得到了 CA pem文件 客户端证书 pem 文件 私钥pem文件 现在,我正在尝试建立与服务器的连接,但它一直出现 403 错误,我不确定如何从这里进行调试。 使用 cURL 执行以下命令: curl -H "Content-Type: application/json" -H "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrom...
tls
确定是否有正当理由阻止/取消 HTTPS 请求(但不是 HTTP)
我最近发现,我一直在使用的微服务(worldtimeapi.org)无法通过https(但可以通过http)在我的家庭网络以外的网络上访问(我尝试过大学的公共网络,它没有密码,并使用我的移动网络,在手机上和通过热点)。 我在笔记本电脑上的 Firefox 上PR_CONNECT_RESET_ERROR使用手机网络时遇到此问题。 但是安全证书似乎是有效的 - 当我通过家庭网络进入该网站时,我的浏览器没有抱怨HTTPS,并且我通过谷歌搜索“网站安全验证”找到的随机网站都说它是安全的。 这让我很疑惑——我能够用笔记本电脑访问该网站是否表明我自己的网络存在安全问题,...
tls
使用代理进行 TLS 检查
我如何在网络中安装代理以便能够解密通过我网络的任何流量?我拥有所有设备,如果有需要,我可以提供私钥和证书供代理解密数据包。我想知道这是否可行,还是我应该让 NGFW 来完成这项工作? ...
tls
如何生成HTTP ca.cert?
如果我使用生成证书+私钥对,在Linux上使用以下命令: openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 这将生成两个文件(key.pem 和 cert.pem),并要求我输入加密/解密私钥的密码;有人可以提示我如何生成 ca .cert 吗?欢迎任何初级解释。我正在尝试遵循: 理想情况下,消息应使用 X509 证书密钥对进行签名。这样,双方就可以验证消息是否来自正确的一方,以及消息是否在传输过程中被篡改。它不提供消息加密;为此,应使用传输级加密 (TL...
tls
为什么 OpenSSL 1.1.1(Linux 客户端)在更改密码规范之前发送应用程序数据?
我们使用内部编译的适用于 Windows 和 Linux 的 OpenSSL 1.1.1i。 我们在 Windows 中的客户端成功连接了 Nginx 服务器(我不知道其版本)。 Linux 客户端失败,并出现“alert bad record mac”错误。 Wireshark 显示 Windows 客户端正在发送“应用程序数据”仅有的发送 Change Cipher Spec 之后。 Wireshark 显示 Linux 客户端正在发送“应用程序数据”前它发送更改密码规范。(据我们所知,应用程序数据不是来自客户端应用程序)。 此后不久,服务器发送一个“应...