关于 ECDSA 的两个问题，求助。。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3294 天前的主题，其中的信息可能已经有所发展或是发生改变。

网址：https://www.vobe.io

COMODO PositiveSSL ECC 。

该连接使用 CHACHA20_POLY1305 进行加密和身份验证，并使用 ECDHE_ECDSA 作为密钥交换机制。

疑惑一：
自己的浏览器总是能访问的， chrome 、 safari 、 firefox 。
但是在虚拟机 ubuntu 15.10 的 chrome 下，无法连接。朋友的 360 浏览器也无法连接。
求证是否打得开？
提示：
ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
疑惑二：

add_header Strict-Transport-Security max-age=15768000;

我已经加了 hsts 了，为什么 ssllabs 却不提示已经添加了，所以拿不到 A+，然后突然强迫症来了。

Chrome

连接

疑惑

虚拟机

14 条回复 • 2015-10-31 07:37:34 +08:00

Laforet

2015-10-30 20:27:36 +08:00

Windows 上 Chrome 能打开， FF 不报错但是打不开, wget 提示 bad file descriptor

sparanoid

MOD

2015-10-30 20:31:51 +08:00

`curl -I https://www.vobe.io/` 并没有 `Strict-Transport-Security`，所以 SSL Labs 那边就没判断出来

Showfom

2015-10-30 20:33:06 +08:00

Firefox 直接打不开

ivmm

2015-10-30 20:58:46 +08:00

@sparanoid 那为什么会不显示捏？

@Laforet
@Showfom

果然是跪在火狐啊。。火狐不支持 ECDSA ？

cylin

2015-10-30 22:01:18 +08:00

记得 CHACHA20_POLY1305 只有 chrome 从某个版本开始支持了，其他浏览器貌似不支持。

ivmm

2015-10-30 22:14:00 +08:00

@cylin 之前刚刚折腾好 CHACHA20 的时候，火狐是可以浏览的

sparanoid

MOD

2015-10-30 22:15:05 +08:00

@ivmm 我看只有一些静态文件有，应该是和你的 nginx 配置有关

alect

2015-10-30 22:19:26 +08:00

要加入一个 dh-params ，用 openssl 生成

ivmm

2015-10-30 22:29:08 +08:00

@alect 必须的，加了 2048 位的

ivmm

2015-10-30 22:36:27 +08:00

@sparanoid 修改了配置，貌似能打开了，求再检验

MrGba2z

2015-10-30 22:37:45 +08:00

try:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

记得 restart Nginx

Laobai

2015-10-30 23:17:26 +08:00 via Android

不用 https 就好了( ｰ̀εｰ́ )

Laforet

2015-10-31 05:08:18 +08:00

@ivmm FF 应该支持， ssllabs 的模拟握手测试也正常，但是配置似乎还是有问题。

@alect ECDHE 和 dh-param 没关系的

davidyin

2015-10-31 07:37:34 +08:00

Win 7 Firefox 可以打开
显示的技术细节：
connection Encrypted (TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, 128 bit keys,(null))