一些有关论坛的疑惑

您好，

其实知道贵坛有一段时间了，但我深知自身水平所以没有深入。

最近偶然间在 SSL Labs 看到了贵坛的网址


发现贵坛的服务器设置似乎有一定的问题
我原以为支持 SSL3 是为了照顾老设备
但贵坛的服务器仅仅支持 TLS 1.0 和 SSL3

这个配置似乎不太合理，不知道是处于什么考虑才这般设置。

除此之外，我发现由于贵坛使用的是 Linode，并且该IP段已被拉黑的原因，因此无法访问 http 。

我原本想建议贵坛将域名添加至 HSTS preload list ，这样之后，用户访问 http 就会自动跳转至 https 。
而贵坛的 SSL 证书仅仅签名了 bbs.cdbook.info ，HSTS preload list 需要在 一级域名(cdbook.info)设置 HSTS 才行。

所以除非贵坛更换证书（例如免费的 Let's Encrypt），否则是无法添加 HSTS preload list 的。

最后，很高兴看到贵坛将 LOGO 的链接指向修正了。
     此致

谢谢指出！因为个人原因可能要几天后才能有时间研究此事，如有新反馈会继续回帖跟进，谢谢。

rjrw 发表于 2020-2-17 08:02
谢谢指出！因为个人原因可能要几天后才能有时间研究此事，如有新反馈会继续回帖跟进，谢谢。 ...

好的，这是两篇参考文，不过作者已经许久没有更新了，可能需要自行校对一下
imququ.com/post/enable-tls-1-3.html
imququ.com/post/my-nginx-conf.html

例如

最新的 Nginx Stable 为 1.16.1
OpenSSL 1.1.1 为 1_1_1d

第二篇文章中

Cloudflare 补丁 已不再适用

Let's Encrypt: github.com/acmesh-official/acme.sh/wiki/说明

HSTS: hstspreload.org ，第二篇文章中的配置里有相应配置。

果然很专业啊！

好专业啊 完全看不懂

游客 113.64.93.x 发表于 2020-2-17 11:57
* c+ L  V6 o! w$ q0 S2 C好的，这是两篇参考文，不过作者已经许久没有更新了，可能需要自行校对一下
imququ.com/post/enable-tls- ...

升级了nginx为1.17，TLS支持到1.2，去掉了SSL3的支持。
对1.3的支持暂时不处理，这个涉及到openssl的升级，暂时不想捣鼓它，有风险，弄挂了服务器修复起来会比较麻烦。（系统版本比较旧了）
1 M! {+ Y0 T+ h; z5 I9 d
5 L, N3 J2 B; ]4 F8 _证书在最初就是用Let's Encrypt的，但服务器上运行自动更新证书的程序会报错（最初3个月第一次更新时没事，第二次更新时就挂了），所以才换成了现在这样证书。而且www域或者说根域吧，其实没有启用的计划（坛主一直没打算用），如果在非墙访问的情况下域根会跳转到bbs域，而bbs域，在http能访问的情况下，是会跳转到https的（这个设置一直有），只是大部分墙内用户其实都不能访问http。
% g; W% u" @; N$ R  o$ X' x. c
8 Y6 F4 E5 c  q6 _, H其实，构建https的初衷只是为了解决大部分用户墙的问题。

专业！以前只是知道https是加密协议可以翻墙，没想到背后有这么多知识点！

rjrw 发表于 2020-2-20 18:54
升级了nginx为1.17，TLS支持到1.2，去掉了SSL3的支持。
对1.3的支持暂时不处理，这个涉及到openssl的升级 ...

好的，那么其实在 https 上也是可以启用 HSTS 的，这样坛友在第二次访问论坛时就可以不再输入 https 协议头了，直接输入 bbs.cdbook.info 即可打开论坛，在 http 被阻断的情况下比 301 跳转好用。
在 Nginx 443 段加入

1. add_header Strict-Transport-Security "max-age=63072000; "

复制代码

即可

真大佬。。。。不明觉厉。。

看不明白，应该是浏览器的问题

完全看不懂啊？是硬件方面的问题吗

好专业，看不明白

认真看完了，居然没看懂。

好专业，看不明白

好专业啊 完全看不懂