这是一个创建于 3316 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://imququ.com/post/optimize-ssl-ciphers-with-boringssl.html
本文一个目的,开启 ssl_prefer_server_ciphers 后,还能让支持 AES-NI 的设备(大部分 PC )优先使用 AES-GCM ,否则优先使用 ChaCha20 。
缺点:现阶段 BoringSSL 不支持 OCSP Stapling 。
另外, Google 是如何实现针对 windows xp 使用普通证书,针对其它系统使用 ECC 证书的呢?盼不吝赐教。
本文一个目的,开启 ssl_prefer_server_ciphers 后,还能让支持 AES-NI 的设备(大部分 PC )优先使用 AES-GCM ,否则优先使用 ChaCha20 。
缺点:现阶段 BoringSSL 不支持 OCSP Stapling 。
另外, Google 是如何实现针对 windows xp 使用普通证书,针对其它系统使用 ECC 证书的呢?盼不吝赐教。
 |
1
Showfom 2015-10-15 21:43:38 +08:00 via iPhone
Google 应该用浏览器判断了, XP 下 IE6 都没问题
|
 |
2
qgy18 OP @Showfom 但是 web server 在建立 tls 会话之后才能拿到 http 的东西啊。 tls 会话都没建立, userAgent 那些都是浮云。 tls 的 Client Hello 的扩展字段也没有用户浏览器相关信息。
|
 |
3
alect 2015-10-15 21:58:10 +08:00
web 服务器支持 SSLCipherSuite 以及 SSLHonorCipherOrder on 即可。。
https://www.tbs-certificates.co.uk/FAQ/en/apache-dual-rsa-ecc.html |
|
5
qgy18 OP 搜了下, Apache 可以支持 ECDSA/RSA 双证书, Nginx 目前还不支持。
实现原理还是从 Client Hello 下手。 |
|
6
alect 2015-10-15 22:39:45 +08:00
@qgy18 好像确实没有官方支持,不过有人发了个 patch 可以绑三种证书。。 RSA+DSA+ECC
https://forum.nginx.org/read.php?2,253440,257332#msg-257332 不过还是手贱勿试吧。。 |
|
7
qgy18 OP @alect 嗯,刚我也搜到类似的帖子了,我准备先在 vagrant 里手贱一把,坏了就 destroy 掉再重新来过,哈哈。
https://github.com/igrigorik/istlsfastyet.com/issues/38#issuecomment-52538316 |
 |
8
zongwan 2015-10-16 09:39:46 +08:00
之前听说楼主的博客是所见中最快加载出来的...
不过里面各种文章我都看不懂.. 有 V 友能翻译理解下吗.. |
Select Language