资讯专栏INFORMATION COLUMN

NGINX简单配置 让SHA256证书支持XP SP1/SP2

idisfkj / 3474人阅读

摘要:因为技术更新迭代的原因的电脑上的不支持签名算法而用户在国内尚有约的市场占有率我们应该怎样才能让我们的网站业务支持到呢原理在介绍方法之前给大家介绍下另外一个概念是用于让单个支持多个证书配置的协议扩展原理就是浏览器在握手时将域名哈希信息和随机种

因为技术更新迭代的原因, XP的电脑上的IE6/IE7不支持sha256签名算法. 而XP用户在国内尚有约10%的市场占有率, 我们应该怎样才能让我们的网站https业务支持到XP呢?

原理:

在介绍方法之前, 给大家介绍下另外一个概念:

SNI(https://en.wikipedia.org/wiki/Server_Name_Indication): 是用于让单个IP支持多个SSL证书配置的TLS协议扩展. 原理就是浏览器在TCP握手时将域名哈希信息和随机种子一起发送给服务器, 服务器根据域名去配置中寻找不同的SSL配置实现同IP多证书.

我们正好可以利用SNI的此特性, 对支持SNI的现代化浏览器/系统提供SHA256以支持更安全的加密通信, 对不支持SNI的浏览器做SHA1证书以向下兼容. 即可达到SHA256+SHA1证书实现100%的浏览器市场占有率.

成本:

你需要多申请一份sha1算法的证书. 推荐使用WoSign(https://www.wosign.com/)提供的免费SSL证书. 申请时一定选择英文+sha1的.

开始干:
http{
    ...
    server {
        server_name                 xxx;  #这儿不能写我网站的域名, 也就是www.it68.com.cn, 原因请自己想象
        listen                      443 ssl;
        ssl                         on;
        ssl_certificate             /home/ssl/it68_sha1.crt;
        ssl_certificate_key         /home/ssl/it68_sha1.pem;
        ssl_session_cache           shared:SSL:10m;
        ssl_session_timeout         10m;

        location / {
            ...
        }
    }

    server {
        server_name                 *.it68.com.cn;
        listen                      443 ssl spdy;
        ssl                         on;
        ssl_certificate             /home/ssl/it68_sha256.crt;
        ssl_certificate_key         /home/ssl/it68_sha256.pem;
        ssl_prefer_server_ciphers   on;
        ssl_ciphers                 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
        ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
        ssl_session_cache           shared:SSL:10m;
        ssl_session_timeout         10m;
        ssl_stapling                on;
        spdy_headers_comp           9;

        location / {
            ...
        }
    }
}
运行效果:

IE6/IE7

现代浏览器

后话:

如果您不懂技术又想占有更全的浏览器市场, 欢迎联系我帮您配置, 收费100元/台服务器. 微信: xiaohuilam1992.

原文:

IT乐吧: NGINX简单配置 让SHA256证书支持XP SP1/SP2
https://www.it68.com.cn/2015/08/06/nginx-ssl-sha256-support-xp-ie-and-ie7/

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/39182.html

相关文章

  • 服务器 ssl 配置

    摘要:接下去会让你选择需要添加进该证书的子域名不带的主域名是默认包含的,最后一个选择服务器类型,不知道会对格式有什么影响我的是。 emmmm...搁置了这么久,终于把自己的网站搭起来了,然后还挺想要浏览器上的的小绿条的,就开始有上https的打算了。 获取证书 证书有免费和付费的,广为流传的免费的就有Lets Encrypt,国内也有很多推出了合作的免费证书,像又拍云和七牛也有免费的开放申请...

    Ku_Andrew 评论0 收藏0
  • Apache 部署SSL数字证书及安全性设置

    摘要:原文阅读部署数字证书及安全性设置作为最常见的一种服务器,其普及度易用性及稳定性都非常高,也可以部署基于的安全服务器,本文介绍如何在上部署签发的数字证书。将提交给申请证书,将私钥自行妥善保管。 原文阅读:Apache 部署SSL数字证书及安全性设置 showImg(https://segmentfault.com/img/bV9FqW?w=1600&h=837); Apache作为最常见...

    cheukyin 评论0 收藏0
  • SHAttered事件谈安全

    摘要:从事件谈安全大新闻在刚刚过去的年月日,和的研究人员公开了个文件,我也第一时间下载并按提示检查了的校验值。这个简单的事实轰动了安全界,因为这说明世界上首次实际意义上公开的的碰撞试验取得了成功。 从SHAttered事件谈安全 大新闻? 在刚刚过去的2017年2月23日,Cryptology Group at Centrum Wiskunde & Informatica (CWI)和Goo...

    zhangke3016 评论0 收藏0
  • Let's Encrypt 泛域名证书申请及配置

    摘要:在今年月份就已经推出泛域名证书支持了,以前我一直是使用的单域名证书,加上站点开启了支持,当新增网站应用时不得不为其单独申请证书,十分不便。 showImg(https://segmentfault.com/img/remote/1460000015354550); Lets Encrypt 在今年 3 月份就已经推出泛域名证书支持了,以前我一直是使用的单域名证书,加上站点开启了 HST...

    luckyyulin 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<