Tag Archives: ssl

距离之前闲聊Nginx，已经过去快3年。而之前在Nginx 1.16时，由Cloudflare为支持HTTP/3推出的quiche项目，也已过去了近4年。时间过得很快，终于在前几周，5月23日，Nginx出1.25.0，Mainline版本合并QUIC分支，支持HTTP/3。更新当天就已经更新到最新版本，只是没写文章。通过这里可查看本站HTTP/3支持状态...

上来，先给传送门，不想看唠叨，想直接进入正题，请点这里。好久不见，甚是想念，上一篇文章发表时间已经过去很久。这段时间确实忙，也有很多私人事，导致一直没更新。说起来，Let’s Encrypt出来这么多年，我推荐过给很多人，但自己从未使用过，也没有实际操作过任何ACME客户端...

于北京时间10月27号23:20更新的Nginx 1.19.4，更新了3个特性，内容如下：Feature: the "ssl_conf_command", "proxy_ssl_conf_command", "grpc_ssl_conf_command", and "uwsgi_ssl_conf_command" directives.Feature: the "ssl_reject_handshake"...

OCSP（Online Certificate Status Protocol，在线证书状态协议）可以理解为是一个在线查询接口，客户端（如浏览器）可以通过它实时查询单个证书的合法性（多为确认证书是否被作废）。使用“OCSP Stapling”主要是为了某些客户端会在TLS握手阶段进一步协商时，实时查询OCSP接口，并在获得结果前阻塞后续流程...

由于主流浏览器将于本月月底（3月底）后对访问使用TLS 1.0和TLS 1.1协议的网站进行不安全警告，所以博客服务器目前已经去除了这两个协议。这在之前文章《小试HTTP3》中也提到了，当时说是最迟5月取消支持，算是比预期提前了一些。下图为各家浏览器的执行时间：我还未仔细了解警告是针对那些不支持TLS...

CF最近推出了个项目quiche，用于为Nginx添加QUIC支持，并支持HTTP3。具体可以查看传送门。为此，我也更新了patch，重新整合了下。因为SPDY早已过期，所以这次新的patch就没再整合进来。Patch为Nginx添加了以下特性：Add QUIC Support.Add HTTP2 HPACK Encoding Support.Add Dynamic TLS Record...

Hi，大家好，我又来水文了，这次聊聊TLS 1.3。（其实是为了掩饰之前的更新类文章）经过4年的时间，日前IETF已正式批准TLS 1.3作为下一个TLS主要标准。目前草案实行到28，详细见传送门。其中与TLS 1.2的不同及好玩之处，就不表了（给几个关键词：高速握手、新加密算法、非AEAD移除）。大家可以自行翻看、搜索...

首先，博客采用了ChaCha20加密方式进行加密和验证身份。其次，要说的是OpenSSL原生并不支持ChaCha20，作者说可能会在1.1.0版本后达成支持。如果你想使用ChaCha20加密算法，一个就是为OpenSSL打patch（由CloudFlare提供）。另外一个选择就是使用LibreSSL或BoringSSL，LibreSSL是OpenBSD创建的OpenSSL一个分支...

之前博客其实是以Varnish=>Nginx=>PHP(FPM-FCGI)来访问的，但Varnish不支持SSL，也就是说无法使用https。好蛋疼。。。所以耍点小聪明，以Nginx(443)=>Varnish(80)=>Nginx=>PHP(FPM-FCGI)来访问到博客。也就是说https走Nginx，反代回Varnish，Varnish反代后端Nginx反代PHP。画了张简单的示意图...