RT, 论坛之前的 SSL 证书后天到期,重新签发了新证书更换,有几处变化:
这些变化在提高 https 安全性的同时会显著降低对老设备、老系统(比如 Android 2.3/Win XP 之流)的兼容性,基本上就是不能建立 https 链接了,但现代系统和浏览器应该不会有问题
顺便用 SSL Labs 测试现在是全绿 A 级
所以,如果遇到有访问问题、浏览器报奇怪的错误等等,欢迎在此反馈,我会尽量解决;如果发现有不能忍的问题,也可以换回 RSA 证书去,反正有效期内无限重签…
ps, 貌似 COMODO 多送了三个月有效期,不知道是不是 ECDSA 证书的推广活动 (:зゝ∠)
您与 forum.suse.org.cn 之间的连接采用了过时的加密技术。
该连接使用 TLS 1.2。
该连接是使用 AES_256_CBC 进行加密的,同时使用 SHA1 进行讯息身份验证并使用 ECDHE_ECDSA 作为密钥交换机制。
浏览器缓存的锅还是没配置好?
这个提示的目标是 SHA1 么?等我睡醒有空查一下吧 (:зゝ∠)
试了下,应该是浏览器(或者本地证书链一类的东西)的锅,我用 Chrome 44.0.2403.52 beta-m (64-bit) 没有任何异常提示
– EDIT –
复现出来了,全绿色,只是一个 warning 都不算的提示
您与 forum.suse.org.cn 之间的连接采用了过时的加密技术。
该连接使用 TLS 1.2。
该连接是使用 AES_256_CBC 进行加密的,同时使用 HMAC-SHA1 进行讯息身份验证并使用 ECDHE_ECDSA 作为密钥交换机制。
我再研究下…
搞定了,现在的 cipher 设置为:
ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’;
果然有更短的写法…
公司代理禁用了sslv3.我在公司访问不了论坛。希望论坛改用用TLS.
从我的 iPhone 发送,使用 Tapatalk
一直都是只支持 TLS 的啊…
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;