这是一个创建于 3303 天前的主题,其中的信息可能已经有所发展或是发生改变。
详细描述下问题:
作死用了 COMODO PositiveSSL ECC 。本来不用 ECC ,都没有问题,上了这货就有问题了,之前用 256 位, ssllab 提示 OCSP 问题,换了 384 位正常。
该连接使用 CHACHA20_POLY1305 进行加密和身份验证,并使用 ECDHE_ECDSA 作为密钥交换机制。
同时也作死上了 h2 , ng-1.9.6,libressl 2.3.0
之前有发过帖子 /t/232359 问过,本以为是证书的问题,结果在 sparanoid 的提醒下,有 nginx.conf 有兼容性问题。
问题一:
自己的浏览器总是能访问的, chrome 、 safari 、 firefox 。
目前朋友说: 360 浏览器、 Edge 、部分火狐、部分版本 IE 要么打不开,
求证是否打得开?
提示:
1. ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
2. 或者打得开,静态文件无法显示
问题二:
add_header Strict-Transport-Security max-age=15768000;
我已经加了 hsts 了,浏览器也提示有了,为什么 ssllabs 却不提示已经添加了,所以拿不到 A+,然后突然强迫症来了。
疑惑三:
ssl_prefer_server_ciphers on;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_buffer_size 1400;
ssl_ecdh_curve secp384r1;
resolver 223.5.5.5 223.6.6.6 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options deny;
add_header X-Content-Type-Options nosniff;
add_header X-Cache $upstream_cache_status;
add_header Access-Control-Allow-Origin: *;
add_header Alternate-Protocol: 8443:h2;
这段代码,如果完整去掉,都打得开,但是我一段一段的去掉,然后重启,去掉、重启。。。 重复。。。。。 但是然后还是找不出问题。。
7 条回复 • 2015-10-31 13:47:41 +08:00
 |
1
xfspace 2015-10-31 11:57:27 +08:00 via Android
chacha20 是 Google 提出来的,目前我知道的只有 Chrome/Firefox 新版本支持。不知道日什么版本开始支持,懒得查。规范详见 RFC7539
然后 HTTP/2 也不是所有浏览器都支持~国内那些套壳用的 Chromium 3X ,不知道有没有跟进了 HTTP/2 |
|
3
xfspace 2015-10-31 12:33:49 +08:00
|
 |
5
ivmm OP |
 |
6
xiaoz 2015-10-31 13:44:01 +08:00 via Android
加密算法的原因吧,估计你用 IE8 以下的都打不开, IE8 以上或其它打开正常。
|
Select Language