V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
qgy18
V2EX  ›  NGINX

使用 BoringSSL 优化 HTTPS 加密算法选择

  •  
  •   qgy18 · 2015-10-15 21:38:48 +08:00 via iPhone · 3981 次点击
    这是一个创建于 3316 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://imququ.com/post/optimize-ssl-ciphers-with-boringssl.html

    本文一个目的,开启 ssl_prefer_server_ciphers 后,还能让支持 AES-NI 的设备(大部分 PC )优先使用 AES-GCM ,否则优先使用 ChaCha20 。

    缺点:现阶段 BoringSSL 不支持 OCSP Stapling 。

    另外, Google 是如何实现针对 windows xp 使用普通证书,针对其它系统使用 ECC 证书的呢?盼不吝赐教。
    9 条回复    2015-10-16 10:39:47 +08:00
    Showfom
        1
    Showfom  
       2015-10-15 21:43:38 +08:00 via iPhone
    Google 应该用浏览器判断了, XP 下 IE6 都没问题
    qgy18
        2
    qgy18  
    OP
       2015-10-15 21:49:55 +08:00 via iPhone
    @Showfom 但是 web server 在建立 tls 会话之后才能拿到 http 的东西啊。 tls 会话都没建立, userAgent 那些都是浮云。 tls 的 Client Hello 的扩展字段也没有用户浏览器相关信息。
    alect
        3
    alect  
       2015-10-15 21:58:10 +08:00
    web 服务器支持 SSLCipherSuite 以及 SSLHonorCipherOrder on 即可。。
    https://www.tbs-certificates.co.uk/FAQ/en/apache-dual-rsa-ecc.html
    qgy18
        4
    qgy18  
    OP
       2015-10-15 22:31:29 +08:00
    @alect 多谢,搜了下,貌似 Nginx 并不支持啊。
    qgy18
        5
    qgy18  
    OP
       2015-10-15 22:37:09 +08:00
    搜了下, Apache 可以支持 ECDSA/RSA 双证书, Nginx 目前还不支持。
    实现原理还是从 Client Hello 下手。
    alect
        6
    alect  
       2015-10-15 22:39:45 +08:00
    @qgy18 好像确实没有官方支持,不过有人发了个 patch 可以绑三种证书。。 RSA+DSA+ECC
    https://forum.nginx.org/read.php?2,253440,257332#msg-257332
    不过还是手贱勿试吧。。
    qgy18
        7
    qgy18  
    OP
       2015-10-15 22:45:43 +08:00
    @alect 嗯,刚我也搜到类似的帖子了,我准备先在 vagrant 里手贱一把,坏了就 destroy 掉再重新来过,哈哈。

    https://github.com/igrigorik/istlsfastyet.com/issues/38#issuecomment-52538316
    zongwan
        8
    zongwan  
       2015-10-16 09:39:46 +08:00
    之前听说楼主的博客是所见中最快加载出来的...
    不过里面各种文章我都看不懂..
    有 V 友能翻译理解下吗..
    Showfom
        9
    Showfom  
       2015-10-16 10:39:47 +08:00
    @qgy18 Google 的 web 端自己开发的吧,想怎么实现就怎么实现了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1043 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:48 · PVG 03:48 · LAX 11:48 · JFK 14:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.