kn007的个人博客

Tag Archives: tls

聊聊Nginx 1.25和HTTP/3

聊聊Nginx 1.25和HTTP/3

距离之前闲聊Nginx,已经过去快3年。而之前在Nginx 1.16时,由Cloudflare为支持HTTP/3推出的quiche项目,也已过去了近4年。时间过得很快,终于在前几周,5月23日,Nginx出1.25.0,Mainline版本合并QUIC分支,支持HTTP/3。更新当天就已经更新到最新版本,只是没写文章。通过这里可查看本站HTTP/3支持状态...

博客终止使用TLS 1.0和TLS 1.1协议

博客终止使用TLS 1.0和TLS 1.1协议

由于主流浏览器将于本月月底(3月底)后对访问使用TLS 1.0和TLS 1.1协议的网站进行不安全警告,所以博客服务器目前已经去除了这两个协议。这在之前文章《小试HTTP3》中也提到了,当时说是最迟5月取消支持,算是比预期提前了一些。下图为各家浏览器的执行时间:我还未仔细了解警告是针对那些不支持TLS...

小试HTTP3

小试HTTP3

CF最近推出了个项目quiche,用于为Nginx添加QUIC支持,并支持HTTP3。具体可以查看传送门。为此,我也更新了patch,重新整合了下。因为SPDY早已过期,所以这次新的patch就没再整合进来。Patch为Nginx添加了以下特性:Add QUIC Support.Add HTTP2 HPACK Encoding Support.Add Dynamic TLS Record...

也聊博客TLS 1.3

也聊博客TLS 1.3

Hi,大家好,我又来水文了,这次聊聊TLS 1.3。(其实是为了掩饰之前的更新类文章)经过4年的时间,日前IETF已正式批准TLS 1.3作为下一个TLS主要标准。目前草案实行到28,详细见传送门。其中与TLS 1.2的不同及好玩之处,就不表了(给几个关键词:高速握手、新加密算法、非AEAD移除)。大家可以自行翻看、搜索...

关于Nginx的SSL加密方式选择

关于Nginx的SSL加密方式选择

首先,博客采用了ChaCha20加密方式进行加密和验证身份。其次,要说的是OpenSSL原生并不支持ChaCha20,作者说可能会在1.1.0版本后达成支持。如果你想使用ChaCha20加密算法,一个就是为OpenSSL打patch(由CloudFlare提供)。另外一个选择就是使用LibreSSL或BoringSSL,LibreSSL是OpenBSD创建的OpenSSL一个分支...

[Postfix进阶]SMTP TLS 加密

[Postfix进阶]SMTP TLS 加密

这篇文章的基础在于之前几篇进阶文章上进行,可通过《进阶的Postfix小结》查看。首先先要构建VPS的CA,最好能对根证书进行签名(利用Cacert或者StartSSL),我的只是单纯的自签名,反正凑个数,加个密。本来就是自用的。那么先将默认CA删除,创建新的CA。rm -rf /etc/pki/CA/etc/pki/tls/misc/CA...