来自 DDOS 2021-07-18 18:12 的文章

高防_高防三星2017_如何解决

高防_高防三星2017_如何解决

你知道那些可怕的"你的联系不是私人的"信息吗? Chrome中自签名或不受信任根的警告消息(来源:badsl.com网站)虽然这些警告显然起到了防止用户连接到不安全站点的目的,但许多事情都会触发这些警告,其中一些原因比其他原因更严重。令人担忧的是,所有这些警告,如果没有很好的方法让普通用户区分严重的警告,高防cdn服务,不仅会造成糟糕的整体用户体验,而且会导致用户开始完全忽略所有警告。谷歌调查的目的是在不影响合法错误的情况下帮助解决良性错误。  我鼓励你在有机会的时候看看这篇谷歌报告,其中最常见的警告是:ChromeHTTPS证书错误的根本原因。同时,我总结了下面的主要发现,并为如何解决一些最常见的问题汇编了一些可行的建议。浏览器警告最常见的原因是什么?那么这些警告背后是什么呢?在大约一年的时间里收集了超过3亿个错误的样本(完整的方法见报告),Google能够轻松地对三分之二的错误原因进行分类。从那里,他们将错误分为三种主要类型:服务器、客户端和网络。  图片来源:谷歌报告详细介绍了他们是如何定义这些类别的,包括关于误报和漏报的说明,但在高水平上:"当服务器呈现无效或不完整的证书链时"会发生服务器错误。示例包括:服务器日期错误(例如,站点正在使用过期的证书)服务器名称不匹配错误(例如证书不包括网站的主机名)服务器授权无效错误(例如,证书没有链接到可信根目录)中间错误不足(例如,服务器只发送结束证书,而不发送中间证书)SHA-1错误(即证书使用过时的SHA-1算法,该算法已过时,不再受Chrome信任)"当客户机无法从正确配置的服务器验证证书链时"会发生客户端错误。示例包括:不正确的客户端时钟(例如,客户端的时钟是在将来设置的,因此它可能错误地说证书已过期,而实际上证书尚未过期)防病毒错误(例如,作为代理解密、检查和重新加密HTTPS流量的防病毒软件正在使用过期的根重新加密证书)"当网络设备拦截HTTPS连接并将证书链替换为客户端无法验证的证书链时",会发生网络错误。示例包括:捕获门户错误(例如,捕获门户,如您第一次尝试使用酒店的Wi-Fi时遇到的问题,并提示您先登录,会导致名称不匹配错误,因为浏览器正在请求一个主机名,即您要访问的网站,但获取的登录页的证书包含不同的主机名)缺少TLS代理根(例如,浏览器缺少TLS代理的根证书,因此每当用户试图访问已被代理截获并重新加密的网站时,ddos防御服务系统,都会收到一条错误消息,因为该根不受信任)惊喜!服务器不是唯一的罪魁祸首将服务器错误与非服务器(客户端和网络)错误平分的情况尤其有趣——关于这一主题的大多数材料都集中在服务器配置上,将防止此类警告的责任推到服务器和站点管理员身上。这些结果表明,这其中有更多的原因。注意:他们也对未分类错误进行了一些手动挖掘,发现与服务器相比,网络/客户端错误的比例甚至更高,进一步突出了客户端和网络的作用。如何修复和防止最常见的浏览器错误虽然该报告在解释这些错误以及造成这些错误的原因方面做得很好,高防cdn网站加速,但它并没有详细说明如何首先修复或预防每一个错误。考虑到报告的目标,这是完全公平的,在某些情况下,解决方案是暗指或有点明显地基于错误,但我认为一些更多的细节和说明会有帮助。您将看到我主要关注服务器错误,因为它们更多地在我的掌控之中,它们实际上可以由站点管理员解决。毕竟,你无法准确控制网站访问者的系统时钟是否设置正确,或者他们的公司是否使用SSL检查服务。另外,服务器配置的重要性是我们一直试图理解的一点——获得证书只是启用HTTPS的一个步骤;您还需要正确配置您的服务器!注意:虽然报告中对服务器错误的建议不多,但有一个部分专门介绍了他们对Chrome所做的更改,以帮助减轻其他一些错误。例如,他们为系统时钟不正确的客户机创建了一个单独的警告,该警告实际上解释了他们接收错误的原因,而不是在没有可操作建议的情况下显示相同的通用警告,而且他们已经注意到,自实现以来,这个错误有所减少。他们还致力于解决捕获门户检测、中间产物不足、名称不匹配等问题。说真的,我建议你阅读整个报告!至少看看最后的"缓解措施"部分,了解一下他们还计划做什么。  服务器日期错误报告发现,毫不奇怪,几乎所有的服务器日期错误都是由过期证书引起的。这里有一个非常明显的解决方案-不要让你的证书过期!哦,那是什么?你还在用Excel电子表格记录你的证书,有些证书还是漏掉了? 来吧,大家。为自己建立一个管理平台,ddos防御市场,帮助自己掌握这些东西。您有来自多个CA的证书并且无法跟踪?找到一个清单工具,可以搜索所有的证书和它们的来源。想让整个过程自动化,这样你就不用担心了?你可以用api和ACME协议做一些非常酷的事情(不仅仅是DV)。过期的证书再也没有借口了!名称不匹配错误Google特别指出了www/nonwww和"超出通配符范围"的子域错误,但同样的逻辑实际上适用于任何主机名或域。主机名必须列在证书中,可以是专门包含的,也可以是通配符的范围(例如,*的证书)。example.com网站会覆盖demo.example.com网站).www错误可能源于一个错误的假设,即证书自动覆盖域的www和非www版本。这不是真的!您需要在证书中列出这两个证书(或使用适当的通配符)。FYI GlobalSign将此免费包含在我们的证书中(即,在同一证书中包含www和非www,我们不收取额外费用)。至于通配符错误,这些可能是由于简单的疏忽,或者可能是由于多个域级别的问题(例如,*的证书)。example.com网站不会覆盖test.demo.example.com,也没有example.com网站). 这个故事的寓意是仔细检查您的主机名是否实际包含在证书中,或者是否包含在通配符的作用域中无效的服务器授权错误为了使网站的证书(有时称为"结束"或"叶子"证书)可信,它必须链接到浏览器信任存储中列出的根(或"授权机构")。Google发现,这些错误中,证书链接到不在浏览器存储库中的根目录的大多数错误是由于自签名证书或政府运营的根目录造成的。简单地说,你不应该在公共网站上使用自签名证书。永远。您可能会想,"内部站点或内部网呢?"?好吧,这也有风险,因为你的员工仍在通过浏览器访问他们,因此会遇到浏览器警告。教他们忽略内部网站的警告可能会导致他们在一般浏览时忽略这些警告,这可能会使您的组织容易受到恶意软件和其他讨厌的东西的攻击。注意:如果您在内部网络上使用自签名证书,因为您需要CA/Browser Forum基线要求不允许的配置(例如内部服务器名、本地主机名、长有效期),一些ca(如GlobalSign)现在提供从非公共根颁发的证书,这些证书是专门为这些用例设计的。政府操作的根目录可能会导致错误,因为它们通常不包含在标准的信任库中,所以公民必须将它们分别安装到自己的机器和设备上。在报告中,谷歌提到了未来可能的缓解措施。基本上,他们建议当用户遇到这种类型的错误时,变异cc怎么防御,他们会收到一条关于如何安装适当的政府根目录的特定消息。他们注意到了这方面的明显挑战,但听到他们在考虑什么是很有趣的中间产物不足中间证书将最终证书(颁发给域/网站的证书)连接到位于浏览器信任存储区中的受信任根证书(上述项目中提到的服务器授权),从而提供一个信任链。这意味着,除了终端证书之外,服务器通常也需要提供中间层。因此,防止此类错误的解决方案是确保在服务器上安装适当的中间层。您从中获得证书的证书颁发机构(CA)将拥有自己的中间层集,这可能取决于您所拥有的证书类型。在GlobalSign,我们在签发您的证书时提供适当的中间产品。这里还提供了按服务器类型安装证书和中间层的说明