论坛证书已更新,如有问题请在此反馈 (2015-06-21)

RT, 论坛之前的 SSL 证书后天到期,重新签发了新证书更换,有几处变化:

  1. 新证书从 RSA 更换为 ECDSA 算法生成私钥(EC 256 bits / SHA256withECDSA, 和 CloudFlare 用的一样)
  2. 禁用了 RC4/MD5/DES 等较弱的加密方式并开启了 2048bit DH 加密支持
  3. 开启 spdy 支持(443 端口)

这些变化在提高 https 安全性的同时会显著降低对老设备、老系统(比如 Android 2.3/Win XP 之流)的兼容性,基本上就是不能建立 https 链接了,但现代系统和浏览器应该不会有问题

顺便用 SSL Labs 测试现在是全绿 A 级

所以,如果遇到有访问问题、浏览器报奇怪的错误等等,欢迎在此反馈,我会尽量解决;如果发现有不能忍的问题,也可以换回 RSA 证书去,反正有效期内无限重签…

ps, 貌似 COMODO 多送了三个月有效期,不知道是不是 ECDSA 证书的推广活动 (:зゝ∠)

您与 forum.suse.org.cn 之间的连接采用了过时的加密技术。

该连接使用 TLS 1.2。

该连接是使用 AES_256_CBC 进行加密的,同时使用 SHA1 进行讯息身份验证并使用 ECDHE_ECDSA 作为密钥交换机制。

浏览器缓存的锅还是没配置好?

这个提示的目标是 SHA1 么?等我睡醒有空查一下吧 (:зゝ∠)

试了下,应该是浏览器(或者本地证书链一类的东西)的锅,我用 Chrome 44.0.2403.52 beta-m (64-bit) 没有任何异常提示

– EDIT –
复现出来了,全绿色,只是一个 warning 都不算的提示

 您与 forum.suse.org.cn 之间的连接采用了过时的加密技术。

该连接使用 TLS 1.2。

该连接是使用 AES_256_CBC 进行加密的,同时使用 HMAC-SHA1 进行讯息身份验证并使用 ECDHE_ECDSA 作为密钥交换机制。

我再研究下…

搞定了,现在的 cipher 设置为:

ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’;

来源 mozilla.github.io/server-side-tls/ssl-config-generator/

明明只需要加一句 dh_params

wiki.phoenixlzx.com/page/NGINX/

:sunglasses: 果然有更短的写法…

公司代理禁用了sslv3.我在公司访问不了论坛。希望论坛改用用TLS.

从我的 iPhone 发送,使用 Tapatalk

一直都是只支持 TLS 的啊…

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;