CDBook BBS beta

 找回密码
 注册
每日推荐
龙化凤37(仿写续版)
第三十七章 赵文隆怎么也没想到,自己有一天会被二夫人从青楼接走,二夫人那涂着艳丽
作者: 牧尼黑
撕裂的铁幕Ⅲ(11.21更新)
写在前面:《铁幕》原本没有3,但催更的人多了也就有了3。再加上第二部也确实有一些遗
作者: Cerberus阿凯
(按文件名中的数字,被up主点进帖子里的图片无法排序,以后发图就不要点进帖子里了,回复顺序问题相关的一律扣3cdb By pansx)
查看: 5073|回复: 14

一些有关论坛的疑惑

[复制链接]
匿名  发表于 2020-2-16 20:34:03 |阅读模式
您好,

其实知道贵坛有一段时间了,但我深知自身水平所以没有深入。

最近偶然间在 SSL Labs 看到了贵坛的网址


发现贵坛的服务器设置似乎有一定的问题
我原以为支持 SSL3 是为了照顾老设备
但贵坛的服务器仅仅支持 TLS 1.0 和 SSL3

这个配置似乎不太合理,不知道是处于什么考虑才这般设置。

除此之外,我发现由于贵坛使用的是 Linode,并且该IP段已被拉黑的原因,因此无法访问 http 。

我原本想建议贵坛将域名添加至 HSTS preload list ,这样之后,用户访问 http 就会自动跳转至 https 。
而贵坛的 SSL 证书仅仅签名了 bbs.cdbook.info ,HSTS preload list 需要在 一级域名(cdbook.info)设置 HSTS 才行。

所以除非贵坛更换证书(例如免费的 Let's Encrypt),否则是无法添加 HSTS preload list 的。

最后,很高兴看到贵坛将 LOGO 的链接指向修正了。
     此致
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
rjrw 发表于 2020-2-17 08:02:59 | 显示全部楼层
谢谢指出!因为个人原因可能要几天后才能有时间研究此事,如有新反馈会继续回帖跟进,谢谢。
匿名  发表于 2020-2-17 11:57:43
rjrw 发表于 2020-2-17 08:02
谢谢指出!因为个人原因可能要几天后才能有时间研究此事,如有新反馈会继续回帖跟进,谢谢。 ...

好的,这是两篇参考文,不过作者已经许久没有更新了,可能需要自行校对一下
imququ.com/post/enable-tls-1-3.html
imququ.com/post/my-nginx-conf.html

例如

最新的 Nginx Stable 为 1.16.1
OpenSSL 1.1.1 为 1_1_1d

第二篇文章中

Cloudflare 补丁 已不再适用

Let's Encrypt: github.com/acmesh-official/acme.sh/wiki/说明

HSTS: hstspreload.org ,第二篇文章中的配置里有相应配置。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
800kjz 发表于 2020-2-19 20:00:56 | 显示全部楼层
果然很专业啊!
TTY123 发表于 2020-2-20 14:59:12 | 显示全部楼层
好专业啊 完全看不懂
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
rjrw 发表于 2020-2-20 18:54:43 | 显示全部楼层
游客 113.64.93.x 发表于 2020-2-17 11:57
; K/ J. t# V6 m2 q# Y& k好的,这是两篇参考文,不过作者已经许久没有更新了,可能需要自行校对一下) X3 ?8 p6 Q2 v7 q6 ?
imququ.com/post/enable-tls- ...

- C: A* }$ \/ k) \2 n0 v升级了nginx为1.17,TLS支持到1.2,去掉了SSL3的支持。7 j6 S1 N3 }0 C  e0 V  R2 r
对1.3的支持暂时不处理,这个涉及到openssl的升级,暂时不想捣鼓它,有风险,弄挂了服务器修复起来会比较麻烦。(系统版本比较旧了)5 Y7 S+ I6 m- m% x# L

6 [' Q4 h; v4 r/ @& J. f证书在最初就是用Let's Encrypt的,但服务器上运行自动更新证书的程序会报错(最初3个月第一次更新时没事,第二次更新时就挂了),所以才换成了现在这样证书。而且www域或者说根域吧,其实没有启用的计划(坛主一直没打算用),如果在非墙访问的情况下域根会跳转到bbs域,而bbs域,在http能访问的情况下,是会跳转到https的(这个设置一直有),只是大部分墙内用户其实都不能访问http。
. _8 R2 g$ z) M4 X" {( U( A+ L7 l2 L: M* k$ Y
其实,构建https的初衷只是为了解决大部分用户墙的问题。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
sai 发表于 2020-2-20 23:23:03 来自手机 | 显示全部楼层
专业!以前只是知道https是加密协议可以翻墙,没想到背后有这么多知识点!
匿名  发表于 2020-2-21 01:39:17
rjrw 发表于 2020-2-20 18:54
升级了nginx为1.17,TLS支持到1.2,去掉了SSL3的支持。
对1.3的支持暂时不处理,这个涉及到openssl的升级 ...

好的,那么其实在 https 上也是可以启用 HSTS 的,这样坛友在第二次访问论坛时就可以不再输入 https 协议头了,直接输入 bbs.cdbook.info 即可打开论坛,在 http 被阻断的情况下比 301 跳转好用。
在 Nginx 443 段加入
  1. add_header Strict-Transport-Security "max-age=63072000; "
复制代码

即可
cyp123004 发表于 2021-1-23 00:07:03 | 显示全部楼层
真大佬。。。。不明觉厉。。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
吃草的绵羊123 发表于 2021-4-28 17:48:00 | 显示全部楼层
看不明白,应该是浏览器的问题
bttommasi 发表于 2021-5-23 00:13:21 | 显示全部楼层
完全看不懂啊?是硬件方面的问题吗
bttommasi 发表于 2021-7-24 20:22:29 | 显示全部楼层
好专业,看不明白
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
ZKCDN 发表于 2021-7-26 20:43:05 来自手机 | 显示全部楼层
认真看完了,居然没看懂。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
DDL789123 发表于 2021-10-1 08:54:29 | 显示全部楼层
好专业,看不明白
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
DDL789123 发表于 2021-12-16 20:04:20 | 显示全部楼层

4 w. h' W4 n! R. w  P8 j* j好专业啊 完全看不懂
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|CDBook

GMT+8, 2024-11-22 00:54 , Processed in 0.232453 second(s), 20 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表