为什么加上这行之后很多手机浏览器就打不开 https 的加密连接了?

2016-12-09 17:48:45 +08:00
 doubleflower

把 Ubuntu 16.04 里的那个 nginx.conf 改了改用在了 debian 里,里面有这么一行(这行出现在 Ubuntu 官方的默认配置里)

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE

加上之后很多手机浏览器就打不开了,包括 Android 4.x/5.x 上的 UC 家那个, 360 浏览器之类都不行。

5400 次点击
所在节点    程序员
10 条回复
alex321
2016-12-09 18:00:16 +08:00
https://www.ssllabs.com/ssltest/

手机不支持 ssl 协议类型,类似 ie6 无法打开很多 ssl 站点,比如支付鸨。需要在 Nginx 中配置多个支持。
jsteward
2016-12-10 06:44:43 +08:00
在採用激進的協議版本之前應該考慮是安全性還是兼容性更重要。(反正咱都是直接 drop 了這種客戶端的支持 (〃ω〃)
doubleflower
2016-12-10 07:24:05 +08:00
@jsteward 作为一个发行版默认设置太激进了,别的发行版都没这么做。至少应该是注释掉的让用户自已打开。
这个设置会影响一大部分国产浏览器,包括最新版本。


昨天迁移系统发行版,同时需要改了很多东西,结果一上线一大堆用户反应打不开网站,我本地却没问题,找了半天才发现原因,巨坑啊。
ghost444
2016-12-10 11:02:28 +08:00
@doubleflower 留着 POODLE 这么一个漏洞在 release 里会被喷得更惨……
julyclyde
2016-12-10 12:39:19 +08:00
@doubleflower 哪个最新版本国产浏览器这么残疾啊?
doubleflower
2016-12-10 13:02:37 +08:00
@julyclyde UC 家的夸克浏览器( UCWEB 没试,应该也差不多), 360 手机上的 360 浏览器,都是最新版。 android 原生的没问题,哪怕是 4.x 上的。
Hardrain
2016-12-11 00:08:21 +08:00
难道那俩国产的浏览器最高支持到 SSLv3?
yexiaoxing
2016-12-13 03:10:47 +08:00
SSLv3 早就不推荐用了…国产浏览器也是厉害的。
http://disablessl3.com
40huo
2017-01-12 11:41:54 +08:00
我加了 SSLv3 ,好像夸克浏览器也不行。。。
doubleflower
2017-01-12 11:47:14 +08:00
@40huo 我这里把这行去掉就可以了,加上就不行。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326500

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX