問題タブ [ssl]

私の最近のいくつかのプロジェクトには、製品/サービスを販売し、ユーザーがクレジット カード情報などを入力する「チェックアウト」プロセスを必要とする Web サイトが含まれていました。明らかに、セキュリティのためにSSL証明書を取得し、顧客に安心感を与えています. ただし、その微妙な点については少しわかりません。最も重要なのは、Web サイトのどの部分で証明書を「使用」する必要があるかについてです。

たとえば、ホームページにアクセスした瞬間に https が入力される Web サイト (主に銀行サイト) に行ったことがありますが、最終的にチェックアウトするときにのみ https が入力される Web サイトもあります。銀行レベルで何かを扱っていないのに、ウェブサイト全体を https で実行するのはやり過ぎですか? チェックアウトページだけを https にする必要がありますか? 全力を尽くすことによるパフォーマンスへの影響は何ですか?

SSL と Kerberos 認証の実際の違いと、SSL トラフィックと Kerberos の両方が存在することがある理由を理解しようとしています。または、Kerberos は何らかの方法で SSL を使用しますか?

誰でも助けることができますか？ありがとうございました！

同じ OpenSSL コンテキストがいくつかの異なる受け入れソケットで使用されていても問題ありませんか?

特に、2 つの異なるリッスン ソケットで同じ boost::asio::ssl::context を使用しています。

この奇妙な呼び出しスタックがあり、その理由を理解するのに困惑しています。

asio が open ssl の read を呼び出してから、負の戻り値 (-37) を取得しているように思えます。

その後、Asio は memcpy 関数内で使用しようとしているようです。

このコール スタックを引き起こす関数は、このエラーなしで何十万回も使用されます。

まれに、週に1回程度です。

リクエスト ヘッダーのサイズは常に正確に 3 バイトであることに注意してください。

考えられる理由について誰かが光を当てることができますか?

注：boost asio 1.36を使用しています

これは、巨大な「カウント」が原因で memcpy で発生するクラッシュ コール スタック クラッシュです。

非ドメイン ベース (スタンドアロン) の Windows Server 2008 を SSTP VPN (Secure Socket Layer Tunneling Protocol VPN) として設定することはできますか?

Win2k8 サーバー経由で SSTP VPN 接続を確立することにより、リモート ユーザーが SSL ベースの VPN (現在は PPTP を使用) 経由でネットワークにアクセスできるようにしたいと考えています。ほとんどのドキュメントには、この機能を有効にするための社内認証局を持つ AD ドメインでの実行が含まれているようです。

スタンドアロンの Win2k8 サーバーでこれを行うことは可能ですか? もしそうなら、どのように？

(私は jmeter-user メーリング リストに同じ質問をしましたが、ここでも試してみたかったので、少なくとも見つけたら答えを更新できます)。

JMeterを使用して、自己署名 SSL 証明書を使用して Tomcat Web アプリケーションをテストするのに問題があります。JMeter は message で SocketException をスローしますUnconnected sockets not implemented。JMeter の docsによると、アプリケーションは、自己署名または CA 署名など、あらゆる証明書を受け入れるように設計および作成されています。

以前にこの特定の例外に遭遇した人はいますか?

この証明書をサーバーからエクスポートしてローカル キーストアにインポートしようとしましたが ( keytool -import -alias tomcat -fileを使用)、結果は同じです。

また、javax.net.debug=all を JVM 引数として設定しようとしました ( JSSE リファレンス ガイドでは、これをデバッグ ステップとしてリストしています)。ただし、どこにもデバッグ出力が表示されません。標準出力/エラー以外の場所でこれを期待する必要がありますか?

複数のテナント (Software-as-a-Service スタイル) をホストする ASP.NET アプリケーションがあります。各テナントには独自のドメイン名 (www.mydomain.com、www.yourdomain.com) と独自の SSL 証明書があります。

すべてのテナントが同じアプリケーションインスタンス上にあるようにアプリケーションをホストする方法はありますか?

• 同じ共有の場所を指す複数の IIS Web サイトを持つことができることはわかっていますが、それは機能しません。同じインスタンスではありません。それは同じアプリケーションの異なるインスタンスです。
• また、ワイルドカード証明書を使用して SSL ホスト ヘッダー マッピングを使用できることも知っていますが、すべてのテナントが同じプライマリ ドメイン (yourdomain.commondomain.com、mydomain.commondomain.com) のサブドメインである必要があるため、それは機能しません。ソリューションが有効であるためには、全員がサブドメインではなく、独自のドメイン名を持っている必要があります。(理想的には、各テナントも EV 証明書を使用することを選択でき、ワイルドカード EV 証明書を使用することはできません。)

私は現在、AJAXベースのサイトの認証に取り組んでおり、この種のベストプラクティスについて誰かが推奨事項を持っているかどうか疑問に思っていました。

私の最初のアプローチは、Cookieベースのシステムでした。基本的に、認証コードを使用してCookieを設定し、すべてのデータアクセスでCookieが変更されました。また、認証に失敗した場合は常に、ハイジャック犯を防ぐために、そのユーザーによるすべてのセッションの認証が解除されました。セッションをハイジャックするには、誰かがログインしたままにしておく必要があり、ハッカーはセッションをスプーフィングするために最後のCookie更新を送信する必要があります。

残念ながら、AJAXの性質上、複数のリクエストをすばやく行うと、順序が狂ってCookieが間違って設定され、セッションが中断される可能性があるため、再実装する必要があります。

私のアイデアは次のとおりです。

• 明らかに安全性の低いセッションベースの方法
• サイト全体でSSLを使用する（やり過ぎのようです）
• ssl認証されたiFrameを使用して安全なトランザクションを実行します（jqueryのハッキングを少し行うことで、これが可能であると思います）

問題は転送されるデータではなく、唯一の懸念は、誰かが自分のものではないアカウントを制御する可能性があることです。

明らかに安全性の低いセッションベースの方法

私のサイトの 1 つにアクセスしようとしている顧客がいますが、このエラーが発生し続けます > ssl_error_rx_record_too_long

すべてのブラウザー、すべてのプラットフォームでこのエラーが発生します。問題をまったく再現できません。

私のサーバーと私自身は米国にあり、顧客はインドにいます.

私は問題をグーグルで検索しましたが、主な情報源は、SSL ポートが HTTP で話していることのようです。サーバーを確認しましたが、これは発生していません。こちら に記載されている解決策を試しましたが、お客様は問題が解決しなかったと述べています。

これを修正する方法、またはこれを再現する方法を誰か教えてもらえますか???

ソリューション

お客様のローカル プロキシの設定が間違っていたことが判明しました。

この質問を見つけて、将来デバッグしようとしている人に役立つことを願っています。

自己署名証明書を使用しているサーバーに対して SOAP 呼び出しを行うときに、この例外を防ぐにはどうすればよいですか?