資訊專欄INFORMATION COLUMN
摘要:因為技術(shù)更新迭代的原因的電腦上的不支持簽名算法而用戶在國內(nèi)尚有約的市場占有率我們應(yīng)該怎樣才能讓我們的網(wǎng)站業(yè)務(wù)支持到呢原理在介紹方法之前給大家介紹下另外一個概念是用于讓單個支持多個證書配置的協(xié)議擴展原理就是瀏覽器在握手時將域名哈希信息和隨機種
因為技術(shù)更新迭代的原因, XP的電腦上的IE6/IE7不支持sha256簽名算法. 而XP用戶在國內(nèi)尚有約10%的市場占有率, 我們應(yīng)該怎樣才能讓我們的網(wǎng)站https業(yè)務(wù)支持到XP呢?
原理:在介紹方法之前, 給大家介紹下另外一個概念:
SNI(https://en.wikipedia.org/wiki/Server_Name_Indication): 是用于讓單個IP支持多個SSL證書配置的TLS協(xié)議擴展. 原理就是瀏覽器在TCP握手時將域名哈希信息和隨機種子一起發(fā)送給服務(wù)器, 服務(wù)器根據(jù)域名去配置中尋找不同的SSL配置實現(xiàn)同IP多證書.
我們正好可以利用SNI的此特性, 對支持SNI的現(xiàn)代化瀏覽器/系統(tǒng)提供SHA256以支持更安全的加密通信, 對不支持SNI的瀏覽器做SHA1證書以向下兼容. 即可達到SHA256+SHA1證書實現(xiàn)100%的瀏覽器市場占有率.
成本:你需要多申請一份sha1算法的證書. 推薦使用WoSign(https://www.wosign.com/)提供的免費SSL證書. 申請時一定選擇英文+sha1的.
開始干:http{
...
server {
server_name xxx; #這兒不能寫我網(wǎng)站的域名, 也就是www.it68.com.cn, 原因請自己想象
listen 443 ssl;
ssl on;
ssl_certificate /home/ssl/it68_sha1.crt;
ssl_certificate_key /home/ssl/it68_sha1.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
location / {
...
}
}
server {
server_name *.it68.com.cn;
listen 443 ssl spdy;
ssl on;
ssl_certificate /home/ssl/it68_sha256.crt;
ssl_certificate_key /home/ssl/it68_sha256.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_stapling on;
spdy_headers_comp 9;
location / {
...
}
}
}
運行效果:
IE6/IE7
現(xiàn)代瀏覽器
如果您不懂技術(shù)又想占有更全的瀏覽器市場, 歡迎聯(lián)系我?guī)湍渲? 收費100元/臺服務(wù)器. 微信: xiaohuilam1992.
原文:IT樂吧: NGINX簡單配置 讓SHA256證書支持XP SP1/SP2
https://www.it68.com.cn/2015/08/06/nginx-ssl-sha256-support-xp-ie-and-ie7/
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/39182.html
摘要:接下去會讓你選擇需要添加進該證書的子域名不帶的主域名是默認包含的,最后一個選擇服務(wù)器類型,不知道會對格式有什么影響我的是。 emmmm...擱置了這么久,終于把自己的網(wǎng)站搭起來了,然后還挺想要瀏覽器上的的小綠條的,就開始有上https的打算了。 獲取證書 證書有免費和付費的,廣為流傳的免費的就有Lets Encrypt,國內(nèi)也有很多推出了合作的免費證書,像又拍云和七牛也有免費的開放申請...
摘要:原文閱讀部署數(shù)字證書及安全性設(shè)置作為最常見的一種服務(wù)器,其普及度易用性及穩(wěn)定性都非常高,也可以部署基于的安全服務(wù)器,本文介紹如何在上部署簽發(fā)的數(shù)字證書。將提交給申請證書,將私鑰自行妥善保管。 原文閱讀:Apache 部署SSL數(shù)字證書及安全性設(shè)置 showImg(https://segmentfault.com/img/bV9FqW?w=1600&h=837); Apache作為最常見...
摘要:從事件談安全大新聞在剛剛過去的年月日,和的研究人員公開了個文件,我也第一時間下載并按提示檢查了的校驗值。這個簡單的事實轟動了安全界,因為這說明世界上首次實際意義上公開的的碰撞試驗取得了成功。 從SHAttered事件談安全 大新聞? 在剛剛過去的2017年2月23日,Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Goo...
摘要:在今年月份就已經(jīng)推出泛域名證書支持了,以前我一直是使用的單域名證書,加上站點開啟了支持,當(dāng)新增網(wǎng)站應(yīng)用時不得不為其單獨申請證書,十分不便。 showImg(https://segmentfault.com/img/remote/1460000015354550); Lets Encrypt 在今年 3 月份就已經(jīng)推出泛域名證書支持了,以前我一直是使用的單域名證書,加上站點開啟了 HST...
閱讀 1344·2023-04-25 15:21
閱讀 2675·2021-11-24 10:23
閱讀 3402·2021-10-11 10:59
閱讀 3245·2021-09-03 10:28
閱讀 1733·2019-08-26 13:45
閱讀 2325·2019-08-26 12:11
閱讀 926·2019-08-26 12:00
閱讀 1710·2019-08-26 10:44
