关于 V2EX 网站 SSL 证书的问题

2015-11-23 13:28:39 +08:00
 Gouweicao
我安装了和 V2EX 网站一样的 AlphaSSL CA 证书,
在 ie 和 chorme 下都是受信任的证书,
但是在我的网站移动端比如 UC 提示过期或者不受信任。
而 V2EX 在移动端却没有这个提示,这是怎么回事?
有没有什么方法来解决一下这个问题?
2475 次点击
所在节点    问与答
9 条回复
virusdefender
2015-11-23 13:31:30 +08:00
证书链问题
Pastsong
2015-11-23 13:31:51 +08:00
证书链不全

https://ssllabs.com/

去这里检查一下
Livid
2015-11-23 13:40:18 +08:00
可能是部署的证书链不全或者不对,之前向 @Aveline 请教类似问题的时候他给了我一个很好用的网站:

https://certificatechain.io/
Pastsong
2015-11-23 13:43:16 +08:00
@Livid Nice one!
pubby
2015-11-23 13:47:53 +08:00
@Livid 最近也在调 ssl ciphers ,看 V2EX 在 ssllabs 测试兼容性和安全性比较好,方便透露一下 ssl ciphers 吗?
tanywei
2015-11-23 21:22:03 +08:00
mark 一下
tanywei
2015-11-24 23:24:34 +08:00
@pubby 哈哈 搞定了要分享下啊。
pubby
2015-11-24 23:40:30 +08:00
@tanywei 试了一些网上的推荐,到 A 或者 A+是容易的。但是兼容性做不到 V2EX 那样,我发觉不是我的设置问题,应该是 ssllabs 对国内网站的访问速度造成的,因为每次检测都是随机几个客户端失败,经常不一样。可能测试过程中丢包或超时引起的。而 V2EX 在 ssllabs 上的测试都是基于美国服务器的
pubby
2015-11-24 23:47:41 +08:00
@tanywei 目前是这样设置的

nginx:

ssl_certificate ssl.crt;
ssl_certificate_key ssl.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_dhparam /etc/nginx/dhparam.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'AES128+EECDH:AES128+EDH:HIGH:!aNULL:!MD5';
ssl_prefer_server_ciphers on;


dhparam.pen 这样生成:
openssl dhparam -out dhparam.pem 2048

系统的 openssl 升级一下
nginx 我用的是 1.8 的,太老的话可能 Perfect Forward Secrecy 会有问题

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/238227

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX