V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivmm
V2EX  ›  问与答

https 配置,部分浏览器打不开

  •  
  •   ivmm · 2015-10-31 10:55:17 +08:00 · 7360 次点击
    这是一个创建于 3313 天前的主题,其中的信息可能已经有所发展或是发生改变。

    详细描述下问题:

    网址: https://www.vobe.io

    作死用了 COMODO PositiveSSL ECC 。本来不用 ECC ,都没有问题,上了这货就有问题了,之前用 256 位, ssllab 提示 OCSP 问题,换了 384 位正常。

    该连接使用 CHACHA20_POLY1305 进行加密和身份验证,并使用 ECDHE_ECDSA 作为密钥交换机制。
    同时也作死上了 h2 , ng-1.9.6,libressl 2.3.0


    之前有发过帖子 /t/232359 问过,本以为是证书的问题,结果在 sparanoid 的提醒下,有 nginx.conf 有兼容性问题。

    问题一:
    自己的浏览器总是能访问的, chrome 、 safari 、 firefox 。
    目前朋友说: 360 浏览器、 Edge 、部分火狐、部分版本 IE 要么打不开,

    求证是否打得开?
    提示:

    1. ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
    2. 或者打得开,静态文件无法显示
    

    问题二:

    add_header Strict-Transport-Security max-age=15768000;
    

    我已经加了 hsts 了,浏览器也提示有了,为什么 ssllabs 却不提示已经添加了,所以拿不到 A+,然后突然强迫症来了。

    疑惑三:

    ssl_prefer_server_ciphers on;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_buffer_size 1400;
    ssl_ecdh_curve secp384r1;
    resolver 223.5.5.5 223.6.6.6 valid=300s;
    resolver_timeout 5s;
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header  X-Frame-Options  deny;
    add_header  X-Content-Type-Options  nosniff;
    add_header X-Cache $upstream_cache_status;
    add_header Access-Control-Allow-Origin: *;
    add_header Alternate-Protocol: 8443:h2;
    

    这段代码,如果完整去掉,都打得开,但是我一段一段的去掉,然后重启,去掉、重启。。。 重复。。。。。 但是然后还是找不出问题。。

    7 条回复    2015-10-31 13:47:41 +08:00
    xfspace
        1
    xfspace  
       2015-10-31 11:57:27 +08:00 via Android
    chacha20 是 Google 提出来的,目前我知道的只有 Chrome/Firefox 新版本支持。不知道日什么版本开始支持,懒得查。规范详见 RFC7539
    然后 HTTP/2 也不是所有浏览器都支持~国内那些套壳用的 Chromium 3X ,不知道有没有跟进了 HTTP/2
    Pastsong
        2
    Pastsong  
       2015-10-31 12:27:51 +08:00
    @xfspace 不支持 H2 的浏览器还是会用 HTTP/1.1 连接吧
    xfspace
        3
    xfspace  
       2015-10-31 12:33:49 +08:00
    @Pastsong 我日, H2 是什么鬼???
    参见 https://imququ.com/post/nginx-http2-patch.html
    Pastsong
        4
    Pastsong  
       2015-10-31 12:58:48 +08:00
    @xfspace HTTP/2 -> H2 这个....一般还是被认可的缩写吧
    ivmm
        5
    ivmm  
    OP
       2015-10-31 13:20:47 +08:00
    @xfspace
    如果浏览器不支持,会自动换兼容性高的协议。
    如果我不去兼容 http1.1 ,那真的是要放弃太多访客了。
    浏览器下默认都写 h2
    xiaoz
        6
    xiaoz  
       2015-10-31 13:44:01 +08:00 via Android
    加密算法的原因吧,估计你用 IE8 以下的都打不开, IE8 以上或其它打开正常。
    ivmm
        7
    ivmm  
    OP
       2015-10-31 13:47:41 +08:00
    @xiaoz
    如果浏览器不支持,会自动换兼容性高的协议。

    问题应该是出在 nginx 的 ssl 安全性配置和 ecc 证书的兼容问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1049 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:32 · PVG 03:32 · LAX 11:32 · JFK 14:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.