问题[tls](computer)

我的服务器上有 CentOS 5.11，它太过时了。

它有 Apache/2.2.22 (Unix) 和 Apache Tomcat/5.5.25

不幸的是，目前无法迁移到新操作系统。

服务器上托管的网站https://www.example.com返回

Secure Connection Failed
An error occurred during a connection to www.example.com.
Peer using unsupported version of security protocol.

Error code: SSL_ERROR_UNSUPPORTED_VERSION

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.

Please contact the website owners to inform them of this problem.

This website might not support the TLS 1.2 protocol

https://www.ssllabs.com/说

服务器仅支持较旧的协议，但不支持当前最好的 TLS 1.2 或 TLS 1.3。等级上限为C

该服务器支持 TLS 1.0。等级上限为 B。

托管提供商建议升级服务器，因为他们说无法安装新的 Let`s Encrypt SSL。

我想知道是否有机会让 https 再次工作？

如果有人向我展示解决问题的方法，而无需迁移到具有最新操作系统/发行版的服务器，我将不胜感激。

我想将我的网站发布为 http 安全连接，但我想将其保密，以便只有我可以查看它。我想在正式发布之前做好准备并测试它的安全性。

有没有提供这样的服务或者有人可以给我建议吗？我是发布网站及其证券的新手。

如果我问的有问题，请告诉我详细信息。我想学习发布网站之前的程序。

是否可以阻止用户绕过浏览器中显示的证书警告，如果可以，如何？

假设我们无法控制远程服务器，并且完全控制客户端计算机。

问题与 Chrome 网络浏览器有关。

我经常看到 TLS server -> client:Encrypted Alert用于关闭 TCP 连接的包。

TLS客户端是否可以发送Encrypted Alert到服务器？

我的 Apache Web 服务器日志遭受可怕的错误：

[ssl:error] AH02032: Hostname www.example.com provided via SNI and
 hostname example.com provided via HTTP are different

我知道这意味着什么以及为什么会发生。

我需要在我的日志中手动重现错误。所以这就是我要问的。

我该怎么做？

更具体地说，我需要查看我的 Web 服务器升级是否仍然记录这些事件，如果是，请采取措施从我的日志文件中过滤它们。

我知道的很多：我需要在 TLS 握手中发送一个主机名，例如www.example.com，发送到我的 Web 服务器（SNI 应该由 Web 服务器自动处理）。example.com然后在 HTTP 标头中发送不同的主机名，例如。

我对 telnet / openssl 等感到满意，但不知道从哪里开始弄清楚命令。

第一次尝试这样做：

我快接近了，但由于某种原因，错误有所不同，并且仅在第一次出现：

$ openssl s_client -crlf -connect www.example.com:443

> GET / HTTP/1.1
> Host: example.com
> [ENTER]

[Sat Mar 05 17:31:35.958118 2022] [ssl:error] [pid 512:tid 139776568080128]
[client 10.0.0.100:37982] AH02032: Hostname www.example.com provided via SNI
and hostname example provided via HTTP have no compatible SSL setup

请注意第二个主机名是example，即使我输入了example.com

第二次尝试这样做：

$ openssl s_client -crlf -connect www.example.com:443

> GET / HTTP/1.1
> Host: example.com
> [ENTER]

日志文件中没有任何报告，无论是在旧服务器上还是新服务器上。我正在发送与 HTTP 主机名不同的 SNI 主机名（我认为），所以也许 openssl 客户端已自动更正，这是我所期望的？

问题是关于强制 Win7 仅使用 TLS 1.2。（是的，我知道 Win7 不再有补丁，没关系。）

根本问题是 Ubisoft Connect 无法正常工作。我认为，日志表明这与使用错误版本的 TLS 有关。日志：

Http status code is 404 for url https://wallet.ecom.ubi.com/...
Http status code is none  for url https://channel-service.upc.ubi.com/...

（HTTP状态码是无？日志文件中的其他调用正常，表明请求本身存在一些基本问题。像TLS问题。但可能不是，所以我希望能够检查TLS 1.2是否配置为唯一可用的协议正确 - 我怀疑它不是。）

使用 SSLLabs，我查看了这些网站支持的 TLS 版本：

• https://www.ssllabs.com/ssltest/analyze.html?d=wallet.ecom.ubi.com
• https://www.ssllabs.com/ssltest/analyze.html?d=channel-service.upc.ubi.com

似乎不同之处在于wallet支持TLS 1.0 & 1.1但不支持1.3并且channel-service不支持1.0 & 1.1，但支持1.3。（虽然我并没有尝试使用 1.3。）

由于两者似乎都支持1.2 ，这就是我希望 Ubisoft Connect 使用的版本。所以我试图将我的 Win7 配置为仅使用 TLS 1.2，而根本不使用 1.0/1.1。（遗憾的是，不支持 1.3。）

我已经阅读了https://support.microsoft.com/en-us/topic/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in- winhttp-in-windows-c4bd73d2-31d7-761e-0178-11268bb10392

那么，如何将 Windows 7 配置为仅使用 TLS 1.2并检查设置是否正常工作？

这是我的注册表：

有没有办法将 Google 搜索引擎配置为仅搜索 SSL/TLS 加密的网站？

我的意思是，当我用谷歌搜索某些东西时，只有具有有效 HTTPS 证书的网站才会出现在搜索结果中。通过这种方式，我想只与每个网站进行加密通信。

我发现了类似谷歌可编程搜索引擎的东西。我现在正在努力配置要搜索的网站的 HTTPS 模式（请参见下面的屏幕截图）。 但我认为 Google 可编程搜索引擎不是我想要的，因为它看起来更像是一个自定义的 JavaScript-Widget，我可以将它集成到我的网站中。

我最近发现我一直在使用的微服务 ( ) 在我的家庭网络以外的网络上worldtimeapi.org无法通过https（但通过http）访问（我尝试过没有密码的大学公共网络，并使用我的移动网络，无论是在手机上还是通过热点）。

在我笔记本电脑上的 Firefox 上，我PR_CONNECT_RESET_ERROR在使用手机网络时得到了。

然而，安全证书似乎是有效的——当我通过 进入我的家庭网络上的网站时，我的浏览器没有抱怨，HTTPS我通过谷歌搜索“网站安全验证”找到的随机网站说它是安全的。

这让我想知道——我在笔记本电脑上访问网站的能力是否表明我自己的网络存在安全问题，或者......什么？

我怎样才能更多地了解为什么某个网站可能会被阻止？

编辑： 虽然乔纳森就看什么给出了很好的建议（我也跟着看了一些）。在这种特定情况下，我设法通过www.在https://. https当我添加www.. 我来回确认这不是巧合，而且似乎也不是。

关于 chaim.pem 文件的一般问题；我使用从我的主机获得的 csr，并使用 LetsEncrypt 的 Certbot 生成 https 证书；我使用了以下命令

$ certbot certonly --manual --csr file-with-my-csr.txt

certbot产生了3个文件0000_cert.pem、0000_chain.pem、0001_chain.pem；然后我使用 cert.pem 文件将证书安装回我的主机；一切都很顺利。

我的问题是“链”文件的用途是什么，因为我没有在任何地方使用它们；它们在什么场景下有用？

我有两条客户端问候消息从同一个客户端发送到不同的服务器，我的客户端支持 TLS 1.2 和 TLS 1.3，如客户端问候支持版本中所示。

在第一条消息中，客户端选择记录层版本 TLS 1.3。

在第二条消息中，客户端选择记录层版本 TLS 1.2。（客户端只发送 hello 并收到警报）

客户真的选择了版本吗？如果是这样，如果客户端还没有收到 Server Hello 消息，客户端如何决定版本。

还是Wireshark根据他在服务器hello看到的设置版本？

这怎么解释？