Я только что установил SSL в основном домене в моей настройке whm / cpanel, у домена есть собственный IP-адрес, и все работает правильно.
Однако при просмотре сайта в Chrome я получаю следующее:
Ваше соединение с example.com зашифровано 256-битным шифрованием. Однако на этой странице есть и другие небезопасные ресурсы. Эти ресурсы могут быть просмотрены другими пользователями во время транзита и могут быть изменены злоумышленником для изменения поведения страницы.
Соединение использует SSL 3.0.
Соединение зашифровано с использованием AES_256_CBC, с SHA1 для аутентификации сообщений и DHE_RSA в качестве механизма обмена ключами.
Соединение не сжато.
Пришлось повторить попытку подключения с использованием SSL 3.0. Обычно это означает, что сервер использует очень старое программное обеспечение и могут иметь другие проблемы с безопасностью.
Я проверил WHM> Конфигурация сервера> Конфигурация Apache> Глобальная конфигурация
а для SSL Cipher Suite установлено следующее, как рекомендовано:
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended
У меня также есть следующий отчет SSL: http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=https%3A%2F%2Fmostplays.com%2F&protocol=https
Я также получаю эту ошибку при отображении пустого html-файла только с заголовком, поэтому он не из внешних источников.
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Test Secure</title>
</head>
<body>
<h1>Test Secure</h1>
</body>
</html>
Я проверил серверное программное обеспечение, и оно использует openSSL 0.9.8e, может ли это быть фактором?
Что я делаю не так? есть ли еще какие-нибудь настройки, которые помогли бы диагностировать проблему?
Однако на этой странице есть и другие небезопасные ресурсы. Эти ресурсы могут быть просмотрены другими пользователями во время транзита и могут быть изменены злоумышленником для изменения поведения страницы.
Откройте панель инструментов разработчика в Chrome (Вид -> Разработчик) и перейдите на вкладку сети. Он перечислит все, что загружает. Кроме того, щелкните значки предупреждений / ошибок в правом нижнем углу. Они откроют список ошибок, включая такие сообщения, как:
Скорее всего, это будут фреймы и содержимое, встроенное в рекламу. После того, как вы нашли «нарушающие» ресурсы в списке на вкладке сети, столбец «Инициатор» должен дать вам представление о том, что их загружает.
Пришлось повторить попытку подключения с использованием SSL 3.0. Обычно это означает, что сервер использует очень старое программное обеспечение и могут иметь другие проблемы с безопасностью.
Убедитесь, что у вас есть это (в дополнение к SSLCipherSuite директива):
SSLProtocol all -SSLv2
Чтобы избежать этого предупреждения, все включенные элементы (изображения, файлы и т. Д.) Должны использовать HTTPS-соединения. Просмотрите исходный код страницы и найдите http: // - это нормально в ссылках на другие страницы (<a href="...) но не в файлы (<img src="..., и т.д.)
Следующее в httpd.conf остановил все ошибки:
SSLProtocol -SSLv2 +SSLv3 +TLSv1
SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM