南琴浪博客

开始使用无特性博客

03/25/2018

本文记述即日起本博客所开的那些倒车。

因为本博客最近一段时间移动端访问会报错 err_spdy_protocol_error 并调试无果,可以判断是启用 http/2 导致的。

为了解决这毛病,我决定趁着这机会顺便也移除一些其它特性。

TLS 1.3

本博客原本使用 openssl draft 18 以启用 TLS 1.3,而现在已改用 LibreSSL 并取消了 TLS 1.3 特性。

关于 LibreSSL,可以看我的 这篇文章

关于 TLS 1.3,可以看我的 这篇文章

HTTP/2

本博客现已取消 http/2 特性。

关于 http/2,可以看我的 这篇文章

2018-05-01 更新:已重新启用该特性。

ECC/RSA 双证书

发现双证书没什么用,就趁着这次将 Let’s Encrypt 更换为 Encryption Everywhere 的机会,撤下了 ECC 证书。

关于双证书,可以看我的 这篇文章

Certificate Transparancy

启用了 LibreSSL 是不能同时编译 ngx_ct_module 的,本站不再支持 TLS 拓展启用 CT 的特性。当然,因为启用了 Encryption Everywhere 证书,是自带 CT 的,所以该特性本站依然保留。

关于 CT,可以看我的 这篇文章

HTTP Public Key Pinning

从 Let’s Encrypt 更换到了 COMODO,那么 HPKP 的 pin-sha256 值肯定要更改。然而 HPKP 因为其有一定安全隐患,本博客现已取消该特性。

关于 HPKP,可以看我的 这篇文章

多余的加密套件

现在只启用 RSA 证书和 TLS 1.2 了,那么就能移除用不到的加密套件(不考虑对旧设备的兼容性),只需要保留以下三个 cipher:

ssl_protocols TLSv1.2;
ssl_ciphers   'ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES256-GCM-SHA384';