V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivmm
V2EX  ›  问与答

关于 ECDSA 的两个问题,求助。。

  •  
  •   ivmm · 2015-10-30 20:15:23 +08:00 · 2330 次点击
    这是一个创建于 3318 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网址:https://www.vobe.io

    COMODO PositiveSSL ECC 。

    该连接使用 CHACHA20_POLY1305 进行加密和身份验证,并使用 ECDHE_ECDSA 作为密钥交换机制。

    疑惑一:
    自己的浏览器总是能访问的, chrome 、 safari 、 firefox 。
    但是在虚拟机 ubuntu 15.10 的 chrome 下,无法连接。 朋友的 360 浏览器也无法连接。
    求证是否打得开?
    提示:

    ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

    疑惑二:

    add_header Strict-Transport-Security max-age=15768000;
    

    我已经加了 hsts 了,为什么 ssllabs 却不提示已经添加了,所以拿不到 A+,然后突然强迫症来了。

    14 条回复    2015-10-31 07:37:34 +08:00
    Laforet
        1
    Laforet  
       2015-10-30 20:27:36 +08:00
    Windows 上 Chrome 能打开, FF 不报错但是打不开, wget 提示 bad file descriptor
    sparanoid
        2
    sparanoid  
    MOD
       2015-10-30 20:31:51 +08:00
    `curl -I https://www.vobe.io/` 并没有 `Strict-Transport-Security`,所以 SSL Labs 那边就没判断出来
    Showfom
        3
    Showfom  
       2015-10-30 20:33:06 +08:00
    Firefox 直接打不开
    ivmm
        4
    ivmm  
    OP
       2015-10-30 20:58:46 +08:00
    @sparanoid 那为什么会不显示捏?

    @Laforet
    @Showfom

    果然是跪在火狐啊。。火狐不支持 ECDSA ?
    cylin
        5
    cylin  
       2015-10-30 22:01:18 +08:00
    记得 CHACHA20_POLY1305 只有 chrome 从某个版本开始支持了,其他浏览器貌似不支持。
    ivmm
        6
    ivmm  
    OP
       2015-10-30 22:14:00 +08:00
    @cylin 之前刚刚折腾好 CHACHA20 的时候,火狐是可以浏览的
    sparanoid
        7
    sparanoid  
    MOD
       2015-10-30 22:15:05 +08:00
    @ivmm 我看只有一些静态文件有,应该是和你的 nginx 配置有关
    alect
        8
    alect  
       2015-10-30 22:19:26 +08:00
    要加入一个 dh-params ,用 openssl 生成
    ivmm
        9
    ivmm  
    OP
       2015-10-30 22:29:08 +08:00
    @alect 必须的,加了 2048 位的
    ivmm
        10
    ivmm  
    OP
       2015-10-30 22:36:27 +08:00
    @sparanoid 修改了配置,貌似能打开了,求再检验
    MrGba2z
        11
    MrGba2z  
       2015-10-30 22:37:45 +08:00
    try:

    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

    记得 restart Nginx
    Laobai
        12
    Laobai  
       2015-10-30 23:17:26 +08:00 via Android
    不用 https 就好了( ー̀εー́ )
    Laforet
        13
    Laforet  
       2015-10-31 05:08:18 +08:00
    @ivmm FF 应该支持, ssllabs 的模拟握手测试也正常,但是配置似乎还是有问题。


    @alect ECDHE 和 dh-param 没关系的
    davidyin
        14
    davidyin  
       2015-10-31 07:37:34 +08:00
    Win 7 Firefox 可以打开
    显示的技术细节:
    connection Encrypted (TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, 128 bit keys,(null))
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2102 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:27 · PVG 08:27 · LAX 16:27 · JFK 19:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.