使用 BoringSSL 优化 HTTPS 加密算法选择

2015-10-15 21:38:48 +08:00
 qgy18
https://imququ.com/post/optimize-ssl-ciphers-with-boringssl.html

本文一个目的,开启 ssl_prefer_server_ciphers 后,还能让支持 AES-NI 的设备(大部分 PC )优先使用 AES-GCM ,否则优先使用 ChaCha20 。

缺点:现阶段 BoringSSL 不支持 OCSP Stapling 。

另外, Google 是如何实现针对 windows xp 使用普通证书,针对其它系统使用 ECC 证书的呢?盼不吝赐教。
3953 次点击
所在节点    NGINX
9 条回复
Showfom
2015-10-15 21:43:38 +08:00
Google 应该用浏览器判断了, XP 下 IE6 都没问题
qgy18
2015-10-15 21:49:55 +08:00
@Showfom 但是 web server 在建立 tls 会话之后才能拿到 http 的东西啊。 tls 会话都没建立, userAgent 那些都是浮云。 tls 的 Client Hello 的扩展字段也没有用户浏览器相关信息。
alect
2015-10-15 21:58:10 +08:00
web 服务器支持 SSLCipherSuite 以及 SSLHonorCipherOrder on 即可。。
https://www.tbs-certificates.co.uk/FAQ/en/apache-dual-rsa-ecc.html
qgy18
2015-10-15 22:31:29 +08:00
@alect 多谢,搜了下,貌似 Nginx 并不支持啊。
qgy18
2015-10-15 22:37:09 +08:00
搜了下, Apache 可以支持 ECDSA/RSA 双证书, Nginx 目前还不支持。
实现原理还是从 Client Hello 下手。
alect
2015-10-15 22:39:45 +08:00
@qgy18 好像确实没有官方支持,不过有人发了个 patch 可以绑三种证书。。 RSA+DSA+ECC
https://forum.nginx.org/read.php?2,253440,257332#msg-257332
不过还是手贱勿试吧。。
qgy18
2015-10-15 22:45:43 +08:00
@alect 嗯,刚我也搜到类似的帖子了,我准备先在 vagrant 里手贱一把,坏了就 destroy 掉再重新来过,哈哈。

https://github.com/igrigorik/istlsfastyet.com/issues/38#issuecomment-52538316
zongwan
2015-10-16 09:39:46 +08:00
之前听说楼主的博客是所见中最快加载出来的...
不过里面各种文章我都看不懂..
有 V 友能翻译理解下吗..
Showfom
2015-10-16 10:39:47 +08:00
@qgy18 Google 的 web 端自己开发的吧,想怎么实现就怎么实现了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/228376

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX