ssl协议出错怎么解决.docx
- 文档编号:29675812
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:8
- 大小:21.24KB
ssl协议出错怎么解决.docx
《ssl协议出错怎么解决.docx》由会员分享,可在线阅读,更多相关《ssl协议出错怎么解决.docx(8页珍藏版)》请在冰豆网上搜索。
ssl协议出错怎么解决
竭诚为您提供优质文档/双击可除
ssl协议出错怎么解决
篇一:
ssl客户端错误提示及解决方法
ssl客户端连接不上错误提示及解决方法如下:
图一
电脑的cpu太老(解决方法:
分部用Vpn硬件设备)
图二
pos机的Via主板不兼容(解决方法:
分部用Vpn硬件设备)图三
安装时。
请把杀毒软件关掉
图四
电脑的配置太老造成无法使用
图五
服务器不存在(解决方法:
1.总部能不能上网。
2.总部的Vpn开启没有。
3.外网ip没有跟域名更新同步,需要重启Vpn设备)
图六
电脑配置太低
图七
虚拟网卡被禁用(解决方法:
右键网上邻居——属性——把禁用的tap-win32的网卡启用,然后在重新连接一次)
图八
电脑需要打一个补丁(解决方法:
把以前安装的ssl客户端软件卸掉,然后在把光盘里面的补丁安装一次。
安装好补丁后再来安ssl客户端软件)
图九
错误提示:
Vpn账号密码不正确
图十
错误提示:
看电脑时间是否正确
篇二:
协商ssl出错
“协商ssl安全信息”报错的解决方法
问题描述:
客户端连接时,在“协商ssl信息”停止较长时间,应用程序无法正常连接
处理方法:
---------------------------------------------------------------------------------------------------------------
3.1/4.1版本:
1、查看杀毒软件有没有隔离掉rfnotify文件(c:
\windows\system32)
2、可能是终端安装过程有问题,重新安装终端。
3、RFnotify.dll文件受损,替换文件。
4.查看绑定的nt账户密码是否正确
5.检查下系统远程桌面好着没,远程桌面坏了也有可能是这个提示。
6.老版本的用测试客户端测试时出现白屏,远程桌面登录winlogon报错。
利用winlogon工具修复即可
-----------------------------------------------------------------------------------------------------------------
4.3以上版本:
1.客户端与服务器版本不一致,如服务器端版本为4.3.1.10,客户端版本为4.3.2.1由于两个版本对应的服务不一样,不同版本客户端在连接时无法找到对应服务,可能出现如下提示:
2.客户端正确,访问仍出现上图提示,用局域网内部地址访问正常,可检查路由器上5872端口设置是否冲突,指定服务器是否正确。
3.提示安全协议问题,检查rap协议设置
控制面板—管理工具—终端服务配置—连接—Rap-tcp属性—环境,依照如图设置:
5.由于路由器中更换服务器ip地址,但没有删除原先5872对应的ip地址,导致出现的卡在“正在协商ssl安全信息”
篇三:
ssl常见安全问题及解决方法
ssl常见安全问题及解决方法
cool007
01-11-30下午02:
43:
21
前言
目前使用ssl的普及率相当高,(如果你在互联网上访问某些网站时在浏览器窗口的下方有一个锁的小图标,就表示它表示该网页被ssl保护着。
但用ssl防护的网站真的能够防范黑客吗现在国内有很多人对ssl存在这么一个认识误区:
ssl很安全,受到ssl防护网页服务器的资料就一定是万无一失的,这也导致这样一个局面,只要有着ssl防护的网站服务器很少接受审查以及监测。
其实不然,对于安全要求不甚高的交易或认证,ssl还是一个相当不错的安全机制,然而若应用在特殊要求方面,它还存在有这样那样的问题。
在下面的文中我将为大家简单介绍到底ssl存在的安全漏洞及解决方案,希望本文对你有所帮助。
一、认识ssl
一般人认为ssl是保护主机或者只是一个应用程序,这是一个误解,ssl不是设计用来保护操作系统的;ssl是securesocketslayer通讯协议的简称,它是被设计用来保护传输中的资料,它的业务是把在网页以及服务器之间的数据传输加密起来。
这个加密(encryption)的措施能够防止资料窃取者直接看到传输中的资料,像是密码或者信用卡号码等等。
在这里谈到ssl,你就必须了解数字证书((digitalcertificates)的概念。
数字证书是一种能在完全开放系统中准确标识某些主体的机制。
一个数字证书包含的信息必须能鉴定用户身份,确保用户就是其所持有证书中声明的用户。
除了唯一的标识信息外,数字证书还包含了证书所有者的公共密钥。
数字证书的使用允许ssl提供认证功能--保证用户所请求连接的服务器身份正确无误。
在信用卡号或pin号码等机密信息被发送出去前让用户确切知道通讯的另一端的身份是毫无疑问的重要的。
很明显的,ssl技术提供了有效的认证。
然而大多数用户并未能正确意识到通过ssl进行安全连接的必需性。
除非越来越多的用户了解ssl和安全站点的基本知识,否则ssl仍不足以成为保护用户网络连接的必需技术。
除非用户能够充分意识到访问站点时应该注意安全连接标识,否则现有的安全技术仍不能称为真正有效。
目前几乎所有处理具有敏感度的资料,财务资料或者要求身分认证的网站都会使用ssl加密技术。
(当你看到https在你的网页浏览器上的uRl出现时,你就是正在使用具有ssl保护的网页服务器。
)在这里我把ssl比喻成是一种在浏览器跟网络服务器之间「受密码保护的导管」(cryptographicpipe),也就是我们常说的安全通道。
这个安全通道把使用者以及网站之间往返的资料加密起来。
但是ssl并不会消除或者减弱网站所将受到的威胁性。
在ssl这个安全通道的背后,一般没有受到ssl防护的网站一样具备了相同的网页服务器程序,同样的网页应用程序,cgi的script以及后端数据库。
目前普遍存在这么一个错误的认识:
很多系统管理者却认为,受到ssl防护的网页服务器自动就变得安全了。
其实不然,事实上,受到ssl防护的网页服务器同样还是会受到与一般其它网站服务器遭受攻击的威胁,受到ssl防护的网页服务器不一定是万无一失的。
二、ssl的安全漏洞
虽然一个网站可能使用了ssl安全技术,但这并不是说在该网站中正在输入和以后输入的数据也是安全的。
所有人都应该意识到ssl提供的仅仅是电子商务整体安全中的一小部份解决方案。
ssl在网站上的使用可能会造成管理员对其站点安全性的某些错觉。
使用了ssl的网站所可能受到的攻击和其它服务器并无任何区别,同样应该留意各方面的安全性。
简言之,加密和数字证书,ssl的主要组成,从来都无法保护服务器--它们仅仅可以保护该服务器所收发的数据。
ssl常见安全问题下面三种:
1、攻击证书
类似Verisign之类的公共ca机构并不总是可靠的,系统管理员经常犯的错误是过于信任
Verisign等的公共ca机构。
例如,如果Verisign发放一个证书说我是"某某某",系统管理员很可能就会相信"我是某某某"。
但是,对于用户的证书,公共ca机构可能不象对网站数字证书那样重视和关心其准确性。
例如,Verisign发放了一个“keyman"组织的证书,而我是其中一员“jack”。
当一个网站要求认证用户身份时,我们提交了“jack”的证书。
你可能会对其返回的结果大吃一惊的。
更为严重的是,由于微软公司的iis服务器提供了"客户端证书映射"(clientcertificatemapping)功能,用于将客户端提交证书中的名字映射到nt系统的用户帐号,在这种情况下我们就能够获得该主机的系统管理员特权!
如果黑客不能利用上面的非法的证书突破服务器,他们可以尝试暴力攻击(brute-forceattack)。
虽然暴力攻击证书比暴力攻击口令更为困难,但仍然是一种攻击方法。
要暴力攻击客户端认证,黑客编辑一个可能的用户名字列表,然后为每一个名字向ca机构申请证书。
每一个证书都用于尝试获取访问权限。
用户名的选择越好,其中一个证书被认可的可能性就越高。
暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名,而不是猜测用户名和口令。
2、窃取证书
除上面的方法外,黑客还可能窃取有效的证书及相应的私有密钥。
最简单的方法是利用特洛伊木马。
这种攻击几乎可使客户端证书形同虚设。
它攻击的是证书的一个根本性弱点:
私有密钥--整个安全系统的核心--经常保存在不安全的地方。
对付这些攻击的唯一有效方法或许是将证书保存到智能卡或令牌之类的设备中,但这里我不打算讨论这个范围,在以后,我将会向大家详细介绍。
3、安全盲点
系统管理员没办法使用现有的安全漏洞扫描(vulnerabilityscanners)或网络入侵侦测系统(intrusiondetectionsystems,ids),来审查或监控网络上的ssl交易。
网络入侵侦测系统是通过监测网络传输来找寻没有经过认证的活动。
任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理者检视。
而要让ids能够发生作用,ids必须能够检视所有的网络流量信息,但是ssl的加密技术却使得通过http传输的信息无法让ids辨认。
再者,虽然我们可以用最新的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点,这种扫描软件并不会检查经过ssl保护的服务器。
受到ssl保护的网页服务器的确拥有与一般服务器同样的安全盲点,可是也许是因为建立ssl连结所需要的时间以及困难度,安全漏洞扫描软件并不会审查受到ssl保护的网页服务器。
没有网络监测系统再加上没有安全漏洞审查,使得最重要的服务器反而成为受到最少防护的服务器。
三、解决方法
至于如何保护证书的安全,你可以采用ids(intrusiondetectionsystem),它是一种用于监测攻击服务器企图的技术和方法。
典型的ids监视网络通讯,并将其与保存在数据库中的已知攻击"特征"或方法比较。
如果发现攻击,ids可以提醒系统管理员、截断连接或甚至实施反攻击等。
问题在于如果网络通讯是加密的,ids将无法监视。
这反而可能会使攻击更为轻松。
假设在一个典型的被防火墙和ids防护的dmz环境中,黑客能轻松地探测被ssl保护的网站,因为ssl对数据的加密使得ids无法正常监测攻击。
通常一台单一的网站服务器会同时使用ssl和普通的tcp协议。
由于黑客攻击的服务器而不是网络连接,他们可以选择任意一种途径。
通过ssl途径,黑客知道ssl加密为他们带来的好处,这样更容易避开ids系统的监测。
对于ids方面的详细内容,我以前向大家介绍过了,大家可以到天极网看《浅析网络入侵监测系统-ids的应用》一文。
在这里我主要介绍的是如何解决系统管理员没办法使用现有的安全漏洞扫描或网络入侵侦测系统而存在的网页服务器安全盲点的情况,目前解决这个困扰的常用方法大致有以下三种:
1、通过proxy代理服务器的ssl
我们可以在一个sslproxy代理程序上使用这项资料审查技术。
sslproxy是一个在连接埠80上接收纯文字的http通讯请求的软件,它会将这些请求通过经由ssl加密过的连结,转寄到目标网站。
我们在连接埠80开一个听取的socket,通过上述的openssl指令,将所有进入这个proxy
的数据传送出去。
这在unix上,只是个小技巧:
你只须将以下的指令加到你们的/etc/inetd.conf档案里面,这个inetd.conf包含所有inetd所提供的网络服务的设定:
wwwstreamtcpnowaitroot/usr/sbin/tcpd/usr/local/bin/ssl_proxy.sh
而/usr/local/bin/ssl_proxy.sh的内容则如下所述:
#!
/bin/sh
/usr/local/ssl/bin/openssls_client-no_tls1-quiet-connect168.172.100.10:
4432>/dev/null
168.172.100.10是ssl防护下的网站的地址所在。
其中-no_tls1以及-quiet选项将ssl交谈(handshake)的标题显示关掉,并且也删除了ssl对于尚未经过授权的网站认证所发出的警告。
如果你要想测试你的proxy连结,那么你只要以纯文字的方式,在执行sslproxy的系统的连接端口80建立联机。
这个proxy会使用ssl来转寄接收的请求到目标网站。
$telnet182.197.110.180get/http/1.0
在这里,服务器正在182.197.110.1的地址执行sslproxy机制,而真正受到ssl保护的地址则是在168.172.100.10。
通过这个sslproxy机制,我们只要将安全扫描软件指向proxy的ip地址,就可以使用它来审查一个ssl服务器。
在这里,你可以使用whisker程序(网址:
80
trying216.182.36.154...
connectedto.
escapecharacteris^].
get/http/1.0
http/1.1200ok
server:
microsoft-iis/4.0
content-location:
http:
//216.182.36.154/index.html
date:
mon,10jul200011:
43:
59gmt
content-type:
text/html
accept-Ranges:
bytes
last-modified:
thu,23mar200001:
41:
15gmt
etag:
"305fc7e06894bf1:
38441"
content-length:
886
charset=iso-8859-1">
因为ssl通联必须要经过一个安全的连接埠,而在这里我们使用的是没有安全防护的连接埠80,因此,这个技巧在https通讯协议上是行不通的。
然而,如果我们用的是openssl程序,我们就可以在ssl连接上做同样的一件事情。
下面是openssl连结的细节openssl:
s_client-connect:
443
connected(00000003)
depth=0/c=us/st=washington/l=newcastle/o=Rampartsecuritygroup
llc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
verifyerror:
num=20:
unabletogetlocalissuercertificate
verifyreturn:
1
depth=0/c=us/st=washington/l=newcastle/o=Rampartsecuritygroup
llc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
verifyerror:
num=27:
certificatenottrusted
verifyreturn:
1
depth=0/c=us/st=washington/l=newcastle/o=Rampartsecuritygroup
llc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
verifyerror:
num=27:
certificatenottrusted
verifyreturn:
1
depth=0/c=us/st=washington/l=newcastle/o=Rampartsecuritygroupllc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
verifyerror:
num=21:
unabletoverifythefirstcertificateverifyreturn:
1
---
certificatechain
0s:
/c=us/st=washington/l=newcastle/o=Rampartsecuritygroupllc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
i:
/c=us/o=Rsadatasecurity,inc./ou=secureservercertificationauthority
---
servercertificate
-----beginceRtiFicate-----
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-----endceRtiFicate-----
subject=/c=us/st=washington/l=newcastle/o=Rampartsecuritygroupllc/ou=web/ou=termsofuseat/Rpa
(c)99/cn=
issuer=/c=us/o=Rsadatasecurity,inc./ou=secureservercertification
authority
---
noclientcertificatecanamessent
---
sslhandshakehasread801bytesandwritten312bytes
---
new,tlsv1/sslv3,cipherisRc4-md5
serverpublickeyis1024bit
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ssl 协议 出错 怎么 解决