这是一个创建于 3090 天前的主题,其中的信息可能已经有所发展或是发生改变。
突发奇想地想换上 ECC 证书(握手听说很小),然后照着 一个打开很快的网站的一篇文章 来做,然后发现签出来的证书 Chrome 不能识别。好像说什么不支持协议什么的。之前是签了一张普通的证书,可以正常使用的。
那么, 是 ECC 不支持了? 还是我的配置有问题了??
PS: 一开始没想着要发帖询问,所以就没截图。
我好像看到过还有 ECC 证书再用的。所以很大程度上是我配置的问题???
所以 再求一份 ECC 签发的文章 or 教程?
 |
1
Tink 2016-05-30 20:37:11 +08:00
ecc 可以啊
|
 |
2
VmuTargh 2016-05-30 20:38:45 +08:00
参考 ssllabs.com 的资料选择 ECC 加密算法
推荐 spec384k1 |
 |
3
carpliyz 2016-05-30 20:40:49 +08:00 via iPhone
推荐这个设置,可能是协议不支持 ECC 证书,那个很快的网站上面有。
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 如果设置后, chrome 还是不支持,建议使用 CloudFlare Patch 过的 OpenSSL 1.0.2h 做为 Nginx 的 SSL 库。 https://imququ.com/post/my-nginx-conf.html |
|
4
carpliyz 2016-05-30 20:41:57 +08:00 via iPhone
补充一个空格。
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; |
 |
6
Kilerd OP @carpliyz 试了, 原来真的是 ssl_ciphers 这里的问题, 我刚刚是用了 RSA 的那串东西。没改过来,改过来就好了
|
 |
11
lslqtz 2016-06-07 15:15:53 +08:00 via iPhone
话说 secp384r1 呢?
|
 |
12
ids 2016-06-17 16:48:48 +08:00 via Android
openssl ecparam -out 你的域名.ecc.pkey -name secp384r1 -genkey && openssl req -new -key 你的域名.ecc.pkey -sha384 -nodes -out 你的域名.ecc.csr -subj "/C=CN/ST=省份 /L=城市 /O=组织 /OU=组织单位 /部门 /分支 /emailAddress=邮箱 /CN=你的域名"
|
 |
13
wql 2016-06-22 19:23:19 +08:00  1
@lslqtz R1 系列曲线(包括 Prime256v1 ,这个已经改叫 SECP256r1 )的随机数选择器是 NIST 制定的通用标准,问题不大,主要是被发现选择器可能有漏洞。
K1 系列曲线没有已知漏洞,但被支持度实在太差。 |
|
15
wql 2016-06-22 20:42:33 +08:00 via Android 1
@lslqtz 不同标准里同一条曲线的不同名称。 常用 SECG 这一列的名称。参见 RFC4492 Appendix A
https://tools.ietf.org/html/rfc4492#appendix-A Curve names chosen by different standards organizations ------------+---------------+------------- SECG | ANSI X9.62 | NIST ------------+---------------+------------- …………(省略 n 行) secp256r1 | prime256v1 | NIST P-256 |
Select Language