1
letitbesqzr 2016-09-28 17:09:33 +08:00
|
2
letitbesqzr 2016-09-28 17:13:03 +08:00
ecc 证书的话无论怎么配置都有些不能兼容的
"并不是所有浏览器都支持 ECDHE 密钥交换,也就是说 ECC 证书的兼容性要差一些。例如在 Windows XP 中,使用 ECC 证书的网站只有 Firefox 能访问( Firefox 的 TLS 自己实现,不依赖操作系统); Android 平台中,也需要 Android 4+ 才支持 ECC 证书。" 但是 nginx 目前已经支持配置多个证书了 |
3
Showfom 2016-09-28 17:22:49 +08:00 via iPhone
不支持的浏览器的访客基本也可以忽略了
|
4
bigtan 2016-09-28 17:29:44 +08:00
debian 的 wget 无法正确的解析 ecc 证书
|
5
VmuTargh 2016-09-28 17:33:30 +08:00 via Android
这个站点配置了 ECC+RSA 两种证书,也就是说自动检测 UA 然后发送对应的可兼容的且强度最大证书给客户端。
另外这个兼容性不仅仅和 ECC/RSA 有关系,还有和 cipher 有关系。 举个例子,比如我这个爆破掉的 https://etula.me ,曾经有段时间仅仅支持 AES-GCM ,使得一大堆老系统全数爆炸(当然现在配置了 AES-CBC 所以兼容性好了一些) 至于 x25519 这个 cipher ,现在更是少。目前我所知道的只有 boringssl 、 chromium/chrome 还有 openssl1.1.0 支持……… |
6
VmuTargh 2016-09-28 17:36:42 +08:00 via Android
@VmuTargh 纠正一下 我那个站点的 cipher 不知道什么时候被我改回 aes-gcm only 了……😂😂😂😂
|
9
VmuTargh 2016-09-28 17:42:23 +08:00 via Android
@isCyan 这个确实是如此,因为 baidu 也是类似的机制。试试看用 opera12.18 不改 UA 去访问百度,再 cp 一个 ff40 的 UA 过去。你会发现前者没有,但是后者有( opera12.18 支持新的 key exchange 还有 cipher
|
10
ghost444 2016-09-28 17:43:14 +08:00
|
11
ghost444 2016-09-28 17:44:47 +08:00
|
12
isCyan 2016-09-28 17:47:37 +08:00
|
13
pc10201 OP @letitbesqzr 我配置了 rsa 和 ecc 证书,但还是有一些浏览器不兼容,报告如下 https://www.ssllabs.com/ssltest/analyze.html?d=download.examvces.com&hideResults=on
|
14
dynos01 2016-09-28 17:58:50 +08:00 via iPhone
你的安全设置太严格了 允许一些老加密方法 再安装双证书就行了
|
15
alect 2016-09-28 19:00:20 +08:00
不需要那么高…… A 就行了
|
16
qgy18 2016-09-28 22:34:23 +08:00 via iPhone
|
18
lslqtz 2016-09-29 21:07:56 +08:00
如果现在还有 SHA-1 证书,那么双证书真心完美了
|
19
Williamp 2016-10-04 20:13:56 +08:00
@lslqtz Google chrome browser giving error and blocking SHA-1 certificate as per https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html
|
21
Williamp 2016-10-18 15:20:00 +08:00
If any website is using SHA-1 certificate
|