作死用了 COMODO PositiveSSL ECC 。本来不用 ECC ,都没有问题,上了这货就有问题了,之前用 256 位, ssllab 提示 OCSP 问题,换了 384 位正常。
该连接使用 CHACHA20_POLY1305 进行加密和身份验证,并使用 ECDHE_ECDSA 作为密钥交换机制。
同时也作死上了 h2 , ng-1.9.6,libressl 2.3.0
之前有发过帖子 /t/232359 问过,本以为是证书的问题,结果在 sparanoid 的提醒下,有 nginx.conf 有兼容性问题。
问题一:
自己的浏览器总是能访问的, chrome 、 safari 、 firefox 。
目前朋友说: 360 浏览器、 Edge 、部分火狐、部分版本 IE 要么打不开,
求证是否打得开?
提示:
1. ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
2. 或者打得开,静态文件无法显示
问题二:
add_header Strict-Transport-Security max-age=15768000;
我已经加了 hsts 了,浏览器也提示有了,为什么 ssllabs 却不提示已经添加了,所以拿不到 A+,然后突然强迫症来了。
疑惑三:
ssl_prefer_server_ciphers on;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_buffer_size 1400;
ssl_ecdh_curve secp384r1;
resolver 223.5.5.5 223.6.6.6 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options deny;
add_header X-Content-Type-Options nosniff;
add_header X-Cache $upstream_cache_status;
add_header Access-Control-Allow-Origin: *;
add_header Alternate-Protocol: 8443:h2;
这段代码,如果完整去掉,都打得开,但是我一段一段的去掉,然后重启,去掉、重启。。。 重复。。。。。 但是然后还是找不出问题。。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.