此请求中的圆圈图标是什么?这是一个返回 pdf 的 GET 请求。
它也可以隐身。
我安装了以下扩展:
- 思科 Webex 扩展
- 谷歌文档离线
- 文档
- 床单
- 幻灯片
如何在 Fedora Linux 上找到用于 Google Chrome 的所有 SELinux 策略?
tl;dr:使用 AD CS 颁发的证书时,Server 2012 R2 和基于 Chromium 的浏览器之间的 TLS 1.2 失败。在 Server 2016+ 和 2012 R2 上使用 Firefox/IE/Cygwin-curl 运行良好。
我们有几个内部 Server 2012 R2 Web 服务器,我们正试图将它们从公开颁发的证书转移到由我们的 AD 集成 CA 颁发的证书上,并消除不太安全的加密设置,包括 CBC MAC。Server 2012 R2 不支持 GCM 的 ECDHE_RSA,这意味着我们正在尝试使用基于 ECDH 的证书。但是,当我们允许使用 CBC-MAC 的密码套件时,我们遇到了类似的问题,例如 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 以及从同一 CA 颁发的 RSA 证书。使用 GlobalSign 颁发的公共通配符证书,我们能够连接所有浏览器。
企业 CA 和脱机根 CA 都是受信任的,我们已经验证它工作正常。使用颁发给 2016 和 2019 服务器的多个不同模板的证书在所有浏览器上都可以正常工作。基于 ECDH 和 RSA 的模板在 2016+ 上同样适用。
ECDH 证书模板加密:
RSA 证书模板加密:
2012 R2 服务器上的 RSA 和 ECDH 证书都被 Firefox security.enterprise_roots.enabled、pre-Chromium Edge、IE 和 Cygwincurl和wget. 我已经确认我们在注册表中使用了现代密码,使用IISCrypto重新设置它们,并验证了服务器使用 OpenSSL 和 nmap 提供了兼容的可用密码。同样,我已经确认客户端实际上能够使用这些密码进行连接。
Firefox 显示它正在与 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 连接,根据Qualys,我们正在使用的 Chrome 版本支持它。
与 ECDH
PORT STATE SERVICE
443/tcp open https
| ciphers:
| TLSv1.1:
| ciphers:
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
| TLSv1.2:
| ciphers:
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
每次我们尝试与 Chrome 连接时,都会记录一对事件 36874/36888,说明客户端上没有支持的密码套件。
我们在使用企业 CA 颁发的证书时遇到问题的密码套件列表,其中大部分仅用于测试(警告已被剪断):
PORT STATE SERVICE
443/tcp open https
| ciphers:
| SSLv3:
| ciphers:
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
|_ least strength: C
我的问题是:
- 当服务器提供兼容的密码套件时,为什么基于 Chromium 的浏览器无法协商密码套件?
- 为了允许 Server 2012 R2 使用内部颁发的证书,我需要设置什么?
- 除了将应用程序服务器升级到 2016/2019 之外,还有更好的方法来处理我正在尝试做的事情吗?在这一点上,似乎完全禁用 TLS 并将所有内容放在 LB/反向代理之后可能是一个更好的主意,即使这些是单服务器解决方案。
编辑:我用 Chromium 打开了一个错误,他们已经确认服务器提供的密码套件应该被 Chrome 接受。在我提供了通过 CHROME://Net-Export 捕获的网络日志之后,他们现在正在调查。这可能与旧的Chrome/2012 错误有关。一旦谷歌报告了问题所在,我将再次更新这篇文章。但是,在这一点上,我们这边的配置似乎没有任何问题。
感谢您的关注!
我刚刚使用我们的内部 Windows-CA 为我们的内部服务器“hdl-diamant”创建了一个证书。
当使用“https://hdl-diamant”调用网站时,我在 Edge(Chromium)、Chrome 和 Firefox 中确实得到了“ERR_CERT_COMMON_NAME_INVALID”。
但在 IE 11 中,证书被接受就好了。
这里出了什么问题?
以下证书由网络服务器提供(您可以在此处解码)
-----BEGIN CERTIFICATE-----
MIIF2TCCBMGgAwIBAgITSgAAACvsEpZoQcz3YwAAAAAAKzANBgkqhkiG9w0BAQsF
ADBBMRIwEAYKCZImiZPyLGQBGRYCZGUxGjAYBgoJkiaJk/IsZAEZFgpnb20tYmVy
bGluMQ8wDQYDVQQDEwZIREwtQ0EwHhcNMjAwODIxMTIwMDAwWhcNMjIwODIxMTIw
MDAwWjCBgDELMAkGA1UEBhMCREUxDzANBgNVBAgTBkJlcmxpbjEPMA0GA1UEBxMG
QmVybGluMSwwKgYDVQQKDCNGUsOWQkVMIEJpbGR1bmcgdW5kIEVyemllaHVuZyBn
R21iSDELMAkGA1UECxMCSVQxFDASBgNVBAMTC2hkbC1kaWFtYW50MIIBIjANBgkq
hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoilKAQZum2Jv+XfYDY4e2+uC+OTK4cF5
nGYuwjUUFfK+UKqHv5VrRxLZeLnch0kOZppVzpU47KwjdtU/jI/BqvVuYyrmW8yp
y2iYm6DevCi08hiDLiSis/sZ/9n6rdqEB2ZmgdIOoNtgL8qk5chxP6ljtJwFTdO2
ksg2oGNAg1UdPqdwVrqUhxI7Y3Gq6MsbajJ23pO4EHQTqMBWhzv1Ja2vtdJhSRrS
vMIWCq8nn9sQe5vyTqZMGoWtNHgOlSr4C4BN3AcbtkrB57CKWwZK2xLeneAMj5hM
ZPbkJaHONGKw6nIjeSoyowA9ZnpZeeTx4oBO3Cn+cpxH2/jWVaj/dQIDAQABo4IC
iDCCAoQwCwYDVR0PBAQDAgWgMBMGA1UdJQQMMAoGCCsGAQUFBwMBMHgGCSqGSIb3
DQEJDwRrMGkwDgYIKoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIAgDALBglghkgB
ZQMEASowCwYJYIZIAWUDBAEtMAsGCWCGSAFlAwQBAjALBglghkgBZQMEAQUwBwYF
Kw4DAgcwCgYIKoZIhvcNAwcwHQYDVR0OBBYEFLSI88muthGWCDpMgD/NkrpijhqP
MB8GA1UdIwQYMBaAFJ5MjQtUxt6n9+UUrT2gdUvhP7OjMIHFBgNVHR8Egb0wgbow
gbeggbSggbGGga5sZGFwOi8vL0NOPUhETC1DQSxDTj1IREwtREMsQ049Q0RQLENO
PVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENOPUNvbmZpZ3Vy
YXRpb24sREM9Z29tLWJlcmxpbixEQz1kZT9jZXJ0aWZpY2F0ZVJldm9jYXRpb25M
aXN0P2Jhc2U/b2JqZWN0Q2xhc3M9Y1JMRGlzdHJpYnV0aW9uUG9pbnQwgboGCCsG
AQUFBwEBBIGtMIGqMIGnBggrBgEFBQcwAoaBmmxkYXA6Ly8vQ049SERMLUNBLENO
PUFJQSxDTj1QdWJsaWMlMjBLZXklMjBTZXJ2aWNlcyxDTj1TZXJ2aWNlcyxDTj1D
b25maWd1cmF0aW9uLERDPWdvbS1iZXJsaW4sREM9ZGU/Y0FDZXJ0aWZpY2F0ZT9i
YXNlP29iamVjdENsYXNzPWNlcnRpZmljYXRpb25BdXRob3JpdHkwIQYJKwYBBAGC
NxQCBBQeEgBXAGUAYgBTAGUAcgB2AGUAcjANBgkqhkiG9w0BAQsFAAOCAQEACI23
mwPAtIDArRBW2sMDDFamsAs3XJh+dnzXTX4MvD/WQRh0zrN8l4sHLiNVI/r9662n
dohB80e62zM/fGIOTXZ9arCWRf+KggBiaRJKehSEBArw8fHadspUjOCtJReAnMkj
SkisgQTc3zDsx4/tQtd1o+uwGovsd7FFRsIWUOpmUdt8TJpgtWuklnA7UHYRVy/Y
Iry4bfN9qR0Bw/aWXmHPrakgzv471jkaQVlN/cHUMrLQPppw0aV1vxTKgl/h7jHv
X0WgrNL5Iz2Lq2I0194ymQh4ZftkNK9GSTAOYryxXi/9Jq4IL7mTQk561F0buyWk
8c0MTPrn6ZKkyQo3RQ==
-----END CERTIFICATE-----
我在Windows上使用ProxyFire便携式 v.3.42通过 LocalHost 路由我的所有系统网络流量。
在MobaXTerm(与 Putty 相同)中,我通过将 127.0.0.1:4567 转发到我的服务器来设置 SSH 隧道。
通过这个配置,我希望我的 Windows 上的每个应用程序的网络流量都通过这个 SSH 代理,包括 Chrome!
但似乎 Chrome 不遵守 Proxyfire 规则。它不会影响 Chrome 或我做错了什么。(其他应用程序都可以)。
我尝试了不同的网络浏览器,例如 IE 和 Edge,但没有成功。
它有网络浏览器的问题。
以下是截图:
ProxyFire 代理服务器:
代理火规则:
波纹管你可以看到它与 Telegram 配合得很好,但没有 Chrome !:
顺便说一下,这是我的 Internet 选项 LAN 设置:
我想知道为什么这些配置对网络浏览器没有影响?我该如何解决?
谢谢
我有这段代码在 chrome 浏览器窗口中按预期工作。这是 Athena 中的 Amazon Web Services 创建表语句。
CREATE EXTERNAL TABLE IF NOT EXISTS default.sh_code (
`shcode` string,
`mob` bigint,
`c_id` int,
`o_series` int,
`c_at` timestamp,
`archive` int
)
ROW FORMAT SERDE 'org.apache.hadoop.hive.serde2.lazy.LazySimpleSerDe'
WITH SERDEPROPERTIES (
'field.delim' = '\t'
) LOCATION 's3://testme16234/short_unique_codes/'
TBLPROPERTIES ('has_encrypted_data'='false');
如果我将代码复制粘贴到 gmail 撰写窗口中,则很难取回相同的代码。我可以从 gmail 窗口复制粘贴回 AWS 窗口,但执行时出现错误。当我将代码粘贴到 gmail 撰写窗口中时,文本中是否添加了一些额外的代码?
我有一个 Windows 服务器(Windows Server 2016 / 1607),它在 Web 浏览器方面存在特殊问题。
Google Chrome 和 Microsoft Edge Chrome 在启动时都会立即崩溃并分别显示Aw Snap/This Page is having a problem错误,即使我启动 about:chrome 页面也是如此。
另一方面,IE11 完美运行。
首先,我认为这是几个月前的 Chrome / Symantec 错误,但我已经在企业范围内实施了策略来解决该特定问题。
我尝试了以下方法:
- 重新安装最新版本的 Chrome
- 安装最新版本的 Edge Chrome
- 禁用 Symantec Endpoint Protection (SEP)
- 将 SEP 更新到 14.2.xxxx
在第 77 版之前,Google Chrome 在第一次点击链接后最初呈现给用户的对话框中包含“始终在关联的应用程序中打开这些类型的链接”复选框。但是对于 77 及更高版本,不再有复选框。
我只是在将 Chrome 重置为默认值之后才注意到这一点,在升级到版本 77 很久之后。在此期间,Chrome 继续尊重以前记住的用户选择,即使不再可能有新的选择。这些先前记住的选择在重置为默认值时被删除。
如果没有安装旧版本的 Chrome 来运行我的应用程序,是否有一种技术可以手动重新创建以前记住的选择?我认为这将为这个问题提供一个功能性的解决方法,即使这些选择以前没有做出。
我有一个包含 X509v3 主题替代设置的证书,但 Chrome 67.0.3396.99 说缺少主题替代名称,即使它看起来包含在证书中。
这是证书的 X509v3 部分openssl s_client -showcerts -connect www.mysite.org:443 </dev/null 2> /dev/null | openssl x509 -noout -text
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:www.mysite.org
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Subject Key Identifier:
<redacted>
证书的主题是Subject: CN = www.mysite.org.
我是否错过了 Chrome 期望的一些额外的 X509v3 设置,因此它会接受 SAN?
我根据 Digital Ocean 论文设置了我的 Nginx conf ,现在 http2 可用...
但是在 Chrome(版本 54.0.2840.98(64 位))开发工具中,它总是在 HTTP 1/1 上:
NAME METHOD STATUS PROTOCOL
shell.js?v=xx.. GET 200 http/1.1
我的服务器正在运行 Ubuntu 16.04 LTS,它同时支持 ALPN 和 NPN ,并且随附的 openssl 版本是 1.0.2g
我用这个工具站点检查了 http2 支持,结果是:
Yeah! example.com supports HTTP/2.0. ALPN supported...
也可以用 curl 检查
$ curl -I --http2 https://www.example.com
HTTP/2 200
server: nginx/1.10.0 (Ubuntu)
date: Tue, 13 Dec 2016 15:59:13 GMT
content-type: text/html; charset=utf-8
content-length: 5603
x-powered-by: Express
cache-control: public, max-age=0
etag: W/"15e3-EUyjnNnyevoQO+tRlVVZxg"
vary: Accept-Encoding
strict-transport-security: max-age=63072000; includeSubdomains
x-frame-options: DENY
x-content-type-options: nosniff
我还从控制台检查了 is-http2 cli
is-http2 www.amazon.com
× HTTP/2 not supported by www.amazon.com
Supported protocols: http/1.1
is-http2 www.example.com
✓ HTTP/2 supported by www.example.com
Supported protocols: h2 http/1.1
用我的本地主机上的 openssl 测试
$ echo | openssl s_client -alpn h2 -connect www.example.com:443 | grep ALPN
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = example.com
verify return:1
ALPN protocol: h2
DONE
为什么 Chrome 被抛在了后面?我如何也可以使用 Safari (v 10.0.1) 检查它