问题[ssl](server)

我在 PostgreSQL 数据库上启用了 SSL，并使用pg_hba.conf以下行强制执行它：

hostssl all all 0.0.0.0/0 md5

从 PostgreSQL 连接日志和通过 tcpdump 捕获的网络流量来看，似乎正在建立 SSL 连接：

2024-10-20 10:12:16.140 UTC [63] LOG:  connection authenticated: identity="user" method=md5 (/etc/postgresql/pg_hba.conf:136)
2024-10-20 10:12:16.140 UTC [63] LOG:  connection authorized: user=user database=db SSL enabled (protocol=TLSv1.3, cipher=TLS_AES_256_GCM_SHA384, bits=256)

然而，由于 Dovecot 和 PostgreSQL 运行在不同的机器上，并且证书及其 CA 在 Dovecot 机器上不受信任，我预计连接到 PostgreSQL 的 Dovecot 会标记自签名证书的问题，但没有出现任何投诉。这让我相信证书没有得到适当的验证，使连接容易受到 MITM（中间人）等攻击。

我是否缺少额外的配置或步骤来强制执行证书验证？如何确保连接安全并且证书得到正确验证？

我运营一个科学网站，称为 site.org，它在三个位置都有镜像，所有镜像都在 DNS 中列为 site.org，以便客户端可以随机选择特定镜像。各个镜像为 server1.site.org 等。LetsEncrypt 证书涵盖 site.org 以及镜像名称。所有镜像都在捐赠带宽的大学内；我自己没有资金支付带宽费用。

一所大学 univ.edu 最近决定，为了“安全控制 https 通信”（他们的话），其网络内的所有站点都应使用 *.univ.edu 通配符证书。他们的实施方法是，在防火墙处，当他们看到端口 443 连接时，他们会拦截 SSL 握手并替换自己的证书。我的服务器从未看到证书握手。客户端浏览器看到 *.univ.edu 证书并拒绝它，因为它不涵盖 site.org。我要求将我的服务器的 IP 列入白名单以进行直通，他们说这样做“不可能”。

在我看来，用他们的证书替换我的证书就像是中间人攻击。公平地说，我不知道他们是否真的坐在那里监控流量，但我没有看到任何可以阻止他们这样做的东西。我不在乎出于个人目的的监控（网站上的所有内容都是公开的），但在我看来，这似乎是一个坏主意，尽管这让他们更容易管理 univ.edu 内部网站的证书。

那么：大型组织使用 AITM 方法管理证书是否正常？这真的只是因为他们想监视所有（传入，但不包括传出）连接吗？有没有我还没有想到的为什么这是一个坏主意的原因？

从根本上说，我正在寻找强有力的论据来说服他们改变立场。如果他们不让步，我担心我将不得不关闭镜像，这对我的用户来说会很遗憾，因为该镜像到其所在大陆的带宽要好得多。（不过，如果有其他建议，我将不胜感激！）

我有一个 cPanel 服务器，其中我编写了一个带有反向代理的包含配置文件，以将其指向服务器上托管的反应应用程序。

以下是一个例子：

 ServerName my.website

ProxyRequests off

<Proxy *>
        Order deny,allow
        Allow from all
</Proxy>

<Location />
        ProxyPass http://localhost:8080/
        ProxyPassReverse http://localhost:8080/
</Location>

我的服务器使用 Let's Encrypt AutoSSL 来保护域，但配置文件导致重定向问题，阻止 AutoSSL 保护域。我尝试了各种豁免来绕过 DCV 文件，但到目前为止都没有成功。我该如何编写它，以便 AutoSSL 继续保护我的域，即使有反向代理。

我是 的作者checkdmarc，这是一款用于检查 DMARC 和其他电子邮件安全标准的开源 CLI 工具。其中一项检查涉及测试域MX记录中列出的邮件服务器是否支持 TLS。我发现在许多情况下，域的 MX 记录中列出的主机名与该服务器使用的证书的备用名称值不匹配CN。这会导致与这些主机的 TLS 连接因主机名不匹配而失败。

例如，MX 记录为gmail.com：

gmail.com.              1550    IN      MX      20 alt2.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      40 alt4.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      10 alt1.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      5 gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      30 alt3.gmail-smtp-in.l.google.com.

然而，快速检查证书gmail-smtp-in.l.google.com显示，该主机提供的证书的 CN 是mx.google.com。我该如何解释这一点？邮件客户端是否只是忽略了 MX 服务器上的主机名匹配？这似乎很疯狂！

openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp
CONNECTED(00000003)
depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
verify return:1
depth=1 C = US, O = Google Trust Services, CN = WR2
verify return:1
depth=0 CN = mx.google.com
verify return:1
---
Certificate chain
 0 s:CN = mx.google.com
   i:C = US, O = Google Trust Services, CN = WR2
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jun 24 07:37:53 2024 GMT; NotAfter: Sep 16 07:37:52 2024 GMT
 1 s:C = US, O = Google Trust Services, CN = WR2
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Dec 13 09:00:00 2023 GMT; NotAfter: Feb 20 14:00:00 2029 GMT
 2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jun 19 00:00:42 2020 GMT; NotAfter: Jan 28 00:00:42 2028 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = mx.google.com
issuer=C = US, O = Google Trust Services, CN = WR2
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 5003 bytes and written 441 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

在我的公司，我们有 Windows Server 2022。对于每个网站，我们都使用 Let's Encrypt 证书。这显示了一条警告，内容是：“尚未创建默认 SSL 站点。为了支持没有 SNI 功能的浏览器，建议创建一个默认 SSL 站点。”这导致我的网站无法运行。禁用选项：“需要服务器名称指示”允许网站开始工作。问题是，为什么禁用 SNI 会让网站开始工作？

我在 Nginx 代理管理器后面有几台主机service1.example.com, service2.example.com，NPM 在其中处理 SSL 并允许加密 acme。现在我安装了一个newhost.exmaple.com需要处理自己的证书生​​成的新主机。我想让 NPM 将所有 http 和 https 查询转发newhost.exmaple.com到内部 ipv4 地址而无需代理。

我查看了流，但流没有域名识别过滤器。高级文档不包含我要查找的内容。

我知道 Nginx 可以做到这一点，相关：

• 基于主机名的Nginx TCP转发
• 反向代理可以使用带有 SSL 直通的 SNI 吗？
• 使用 NGINX 代理（管理器）根据主机名转发 HTTPS 和 HTTP 流量

我正在 docker 中运行 NPM。

这是一个相当新的 ELK 安装。我最初安装 v7.x 是因为我误以为它是必需的；但后来通过编辑 Elastic PPA 的源 URL 进行了升级。使用 apt 进行升级没有错误。

我必须调整 elasticsearch.yml 文件中的某些设置（将“http”替换为“transport”）：

ELK7：

xpack.security.http.ssl.enabled: 'true'
xpack.security.http.ssl.verification_mode: 'none'
xpack.security.http.ssl.certificate_authorities: /etc/elasticsearch/certs/ca/ca.crt
xpack.security.http.ssl.key: /etc/elasticsearch/certs/netflow/netflow.key
xpack.security.http.ssl.certificate: /etc/elasticsearch/certs/netflow/netflow.crt

麋鹿8：

xpack.security.transport.ssl.enabled: 'true'
xpack.security.transport.ssl.verification_mode: 'none'
xpack.security.transport.ssl.certificate_authorities: /etc/elasticsearch/certs/ca/ca.crt
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/netflow/netflow.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/netflow/netflow.crt

在 ELK 7 下，一切运行正常。在 ELK 8 下，它现在会从链接到 curl 的 OpenSSL 库中产生错误：

# curl -v --cacert /etc/elasticsearch/certs/ca/ca.crt -u elastic:PASSWORD https://127.0.0.1:9200
*   Trying 127.0.0.1:9200...
* Connected to 127.0.0.1 (127.0.0.1) port 9200 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/elasticsearch/certs/ca/ca.crt
*  CApath: /etc/ssl/certs
* OpenSSL/3.0.13: error:0A00010B:SSL routines::wrong version number
* Closing connection 0
curl: (35) OpenSSL/3.0.13: error:0A00010B:SSL routines::wrong version number
[Exit 35 ]

我要问的第一个问题是，这个错误到底是什么意思？哪个版本错误？（我猜是 SSL 版本）

我尝试添加--ssl2、--ssl3、--tls-max 1.0、--tls-max 1.1、--tls-max 1.2 和--tls-max 1.3；但没有什么区别。

我想在 apache2 中禁用 TLSv1.3 并仅使用 TLSv1.2

我尝试在 ssl.conf 文件中做一些更改，例如：

• SSL协议-all +TLSv1.2
• SSL协议全部-TLSv1.3
• SSL协议 TLSv1.2
• SSL协议全部 -SSLv3 -TLSv1.2 -TLSv1.3

并使用 openssl s_client 进行了一些测试，结果相同。服务器继续接受 TLSv1.3 和 TLSv1.2 请求。

我不明白出了什么问题或我应该配置什么。

我正在尝试使用 LetsEncrypt 在 HAProxy 上提供 SSL certbot。我正在使用以下命令创建 SSL：

 sudo certbot certonly --standalone -d test.example.com \
    --non-interactive --agree-tos --email [email protected] \
    --http-01-port=8888

它正在创建一个新证书。没有问题。但是如果我想续订证书，续订失败。当我跑步时sudo certbot renew --dry-run。给出这个错误：

Processing /etc/letsencrypt/renewal/test.example.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator standalone, Installer None
Simulating renewal of an existing certificate for test.example.com
Performing the following challenges:
http-01 challenge for test.example.com
Cleaning up challenges
Failed to renew certificate test.example.com with error: Problem binding to port 8888: Could not bind to IPv4 or IPv6.

我正在使用这个来源：https://serversforhackers.com/c/letsencrypt-with-haproxy

我正在创建我的 haproxy（HA-Proxy 版本 2.2.9-2+deb11u6）配置，如下所示：

frontend fe-example

    bind *:4433 ssl crt /etc/haproxy/certs/test.example.com/test.example.com.pem

    # New line to test URI to see if its a letsencrypt request
    acl letsencrypt-acl path_beg /.well-known/acme-challenge/
    use_backend letsencrypt-backend if letsencrypt-acl

    default_backend be-example

# LE Backend
backend letsencrypt-backend
    server letsencrypt 127.0.0.1:8888

# Normal (default) Backend
# for web app servers
backend be-example
    # Config omitted here

但这个配置对我不起作用。

我的第一个问题是；这个 HAProxy 配置有什么问题？我的第二个问题是；这种颁发SSL证书的方法是真的吗？

我正在设计一个新的Azure环境的架构。我打算使用订阅来隔离 dev、stg 和 prd。

我发现需要在订阅之间导入/导出 Azure 通配符 SSL 证书。此后，自动续订是否会在所有订阅中起作用，还是仅在原始订阅中起作用？

或者，我可以按一个订阅下的资源组来隔离环境。Azure SSL 是否可以在资源组之间自动续订？

或者是否有其他技巧或方法可以在环境之间共享通配符证书？