把 Ubuntu 16.04 里的那个 nginx.conf 改了改用在了 debian 里,里面有这么一行(这行出现在 Ubuntu 官方的默认配置里)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
加上之后很多手机浏览器就打不开了,包括 Android 4.x/5.x 上的 UC 家那个, 360 浏览器之类都不行。
1
alex321 2016-12-09 18:00:16 +08:00
|
2
jsteward 2016-12-10 06:44:43 +08:00
在採用激進的協議版本之前應該考慮是安全性還是兼容性更重要。(反正咱都是直接 drop 了這種客戶端的支持 (〃ω〃)
|
3
doubleflower OP @jsteward 作为一个发行版默认设置太激进了,别的发行版都没这么做。至少应该是注释掉的让用户自已打开。
这个设置会影响一大部分国产浏览器,包括最新版本。 昨天迁移系统发行版,同时需要改了很多东西,结果一上线一大堆用户反应打不开网站,我本地却没问题,找了半天才发现原因,巨坑啊。 |
4
ghost444 2016-12-10 11:02:28 +08:00 via Android
@doubleflower 留着 POODLE 这么一个漏洞在 release 里会被喷得更惨……
|
5
julyclyde 2016-12-10 12:39:19 +08:00
@doubleflower 哪个最新版本国产浏览器这么残疾啊?
|
6
doubleflower OP @julyclyde UC 家的夸克浏览器( UCWEB 没试,应该也差不多), 360 手机上的 360 浏览器,都是最新版。 android 原生的没问题,哪怕是 4.x 上的。
|
7
Hardrain 2016-12-11 00:08:21 +08:00
难道那俩国产的浏览器最高支持到 SSLv3?
|
8
yexiaoxing 2016-12-13 03:10:47 +08:00 via iPhone
SSLv3 早就不推荐用了…国产浏览器也是厉害的。
http://disablessl3.com |
9
40huo 2017-01-12 11:41:54 +08:00
我加了 SSLv3 ,好像夸克浏览器也不行。。。
|
10
doubleflower OP @40huo 我这里把这行去掉就可以了,加上就不行。
|