資訊專欄INFORMATION COLUMN
摘要:因?yàn)榧夹g(shù)更新迭代的原因的電腦上的不支持簽名算法而用戶在國(guó)內(nèi)尚有約的市場(chǎng)占有率我們應(yīng)該怎樣才能讓我們的網(wǎng)站業(yè)務(wù)支持到呢原理在介紹方法之前給大家介紹下另外一個(gè)概念是用于讓單個(gè)支持多個(gè)證書配置的協(xié)議擴(kuò)展原理就是瀏覽器在握手時(shí)將域名哈希信息和隨機(jī)種
因?yàn)榧夹g(shù)更新迭代的原因, XP的電腦上的IE6/IE7不支持sha256簽名算法. 而XP用戶在國(guó)內(nèi)尚有約10%的市場(chǎng)占有率, 我們應(yīng)該怎樣才能讓我們的網(wǎng)站https業(yè)務(wù)支持到XP呢?
原理:在介紹方法之前, 給大家介紹下另外一個(gè)概念:
SNI(https://en.wikipedia.org/wiki/Server_Name_Indication): 是用于讓單個(gè)IP支持多個(gè)SSL證書配置的TLS協(xié)議擴(kuò)展. 原理就是瀏覽器在TCP握手時(shí)將域名哈希信息和隨機(jī)種子一起發(fā)送給服務(wù)器, 服務(wù)器根據(jù)域名去配置中尋找不同的SSL配置實(shí)現(xiàn)同IP多證書.
我們正好可以利用SNI的此特性, 對(duì)支持SNI的現(xiàn)代化瀏覽器/系統(tǒng)提供SHA256以支持更安全的加密通信, 對(duì)不支持SNI的瀏覽器做SHA1證書以向下兼容. 即可達(dá)到SHA256+SHA1證書實(shí)現(xiàn)100%的瀏覽器市場(chǎng)占有率.
成本:你需要多申請(qǐng)一份sha1算法的證書. 推薦使用WoSign(https://www.wosign.com/)提供的免費(fèi)SSL證書. 申請(qǐng)時(shí)一定選擇英文+sha1的.
開(kāi)始干:http{
...
server {
server_name xxx; #這兒不能寫我網(wǎng)站的域名, 也就是www.it68.com.cn, 原因請(qǐng)自己想象
listen 443 ssl;
ssl on;
ssl_certificate /home/ssl/it68_sha1.crt;
ssl_certificate_key /home/ssl/it68_sha1.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
location / {
...
}
}
server {
server_name *.it68.com.cn;
listen 443 ssl spdy;
ssl on;
ssl_certificate /home/ssl/it68_sha256.crt;
ssl_certificate_key /home/ssl/it68_sha256.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_stapling on;
spdy_headers_comp 9;
location / {
...
}
}
}
運(yùn)行效果:
IE6/IE7
現(xiàn)代瀏覽器
如果您不懂技術(shù)又想占有更全的瀏覽器市場(chǎng), 歡迎聯(lián)系我?guī)湍渲? 收費(fèi)100元/臺(tái)服務(wù)器. 微信: xiaohuilam1992.
原文:IT樂(lè)吧: NGINX簡(jiǎn)單配置 讓SHA256證書支持XP SP1/SP2
https://www.it68.com.cn/2015/08/06/nginx-ssl-sha256-support-xp-ie-and-ie7/
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/39182.html
摘要:接下去會(huì)讓你選擇需要添加進(jìn)該證書的子域名不帶的主域名是默認(rèn)包含的,最后一個(gè)選擇服務(wù)器類型,不知道會(huì)對(duì)格式有什么影響我的是。 emmmm...擱置了這么久,終于把自己的網(wǎng)站搭起來(lái)了,然后還挺想要瀏覽器上的的小綠條的,就開(kāi)始有上https的打算了。 獲取證書 證書有免費(fèi)和付費(fèi)的,廣為流傳的免費(fèi)的就有Lets Encrypt,國(guó)內(nèi)也有很多推出了合作的免費(fèi)證書,像又拍云和七牛也有免費(fèi)的開(kāi)放申請(qǐng)...
摘要:原文閱讀部署數(shù)字證書及安全性設(shè)置作為最常見(jiàn)的一種服務(wù)器,其普及度易用性及穩(wěn)定性都非常高,也可以部署基于的安全服務(wù)器,本文介紹如何在上部署簽發(fā)的數(shù)字證書。將提交給申請(qǐng)證書,將私鑰自行妥善保管。 原文閱讀:Apache 部署SSL數(shù)字證書及安全性設(shè)置 showImg(https://segmentfault.com/img/bV9FqW?w=1600&h=837); Apache作為最常見(jiàn)...
摘要:從事件談安全大新聞在剛剛過(guò)去的年月日,和的研究人員公開(kāi)了個(gè)文件,我也第一時(shí)間下載并按提示檢查了的校驗(yàn)值。這個(gè)簡(jiǎn)單的事實(shí)轟動(dòng)了安全界,因?yàn)檫@說(shuō)明世界上首次實(shí)際意義上公開(kāi)的的碰撞試驗(yàn)取得了成功。 從SHAttered事件談安全 大新聞? 在剛剛過(guò)去的2017年2月23日,Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Goo...
摘要:在今年月份就已經(jīng)推出泛域名證書支持了,以前我一直是使用的單域名證書,加上站點(diǎn)開(kāi)啟了支持,當(dāng)新增網(wǎng)站應(yīng)用時(shí)不得不為其單獨(dú)申請(qǐng)證書,十分不便。 showImg(https://segmentfault.com/img/remote/1460000015354550); Lets Encrypt 在今年 3 月份就已經(jīng)推出泛域名證書支持了,以前我一直是使用的單域名證書,加上站點(diǎn)開(kāi)啟了 HST...
閱讀 1346·2023-04-25 15:21
閱讀 2680·2021-11-24 10:23
閱讀 3404·2021-10-11 10:59
閱讀 3252·2021-09-03 10:28
閱讀 1735·2019-08-26 13:45
閱讀 2328·2019-08-26 12:11
閱讀 928·2019-08-26 12:00
閱讀 1713·2019-08-26 10:44
