本文共计 422 字,预计阅读 11 分钟
因为本博客最近一段时间移动端访问会报错 err_spdy_protocol_error 并调试无果,可以判断是启用 http/2 导致的。
为了解决这毛病,我决定趁着这机会顺便也移除一些其它特性。
TLS 1.3
本博客原本使用 openssl draft 18 以启用 TLS 1.3,而现在已改用 LibreSSL 并取消了 TLS 1.3 特性。
关于 LibreSSL,可以看我的 这篇文章
关于 TLS 1.3,可以看我的 这篇文章
HTTP/2
本博客现已取消 http/2 特性。
关于 http/2,可以看我的 这篇文章
ECC/RSA 双证书
发现双证书没什么用,就趁着这次将 Let’s Encrypt 更换为 COMODO ECC Domain Validation CA 的机会,撤下了 RSA 证书。
关于双证书,可以看我的 这篇文章
Certificate Transparancy
启用了 LibreSSL 是不能同时编译 ngx_ct_module 的,本站不再支持 TLS 拓展启用 CT 的特性。当然,因为启用了 Comodo 证书,是自带 CT 的,所以该特性本站依然保留。
关于 CT,可以看我的 这篇文章
HTTP Public Key Pinning
从 Let’s Encrypt 更换到了 COMODO,那么 HPKP 的 pin-sha256 值肯定要更改。然而 HPKP 因为其有一定安全隐患,本博客现已取消该特性。
关于 HPKP,可以看我的 这篇文章
多余的加密套件
现在只启用 ECC 证书和 TLS 1.2 了,那么就能移除用不到的加密套件(不考虑对旧设备的兼容性),只需要保留以下三个 cipher:
ssl_protocols TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES256-GCM-SHA384';