CDBook BBS beta

 找回密码
 注册
每日推荐
四季之罪
四季之罪 春 一切都是从那年春天开始改变的,这个由四人组成的犯罪团体的代号分别是
作者: fbeds
交换之深度卧底 B结局
天已经完全黑下来了,海边只有几盏路灯发出的暖光照亮了一小片地面。    透过薄雾,
作者: guanchazhe
(按文件名中的数字,被up主点进帖子里的图片无法排序,以后发图就不要点进帖子里了,回复顺序问题相关的一律扣3cdb By pansx)
查看: 4953|回复: 14

一些有关论坛的疑惑

[复制链接]
匿名  发表于 2020-2-16 20:34:03 |阅读模式
您好,

其实知道贵坛有一段时间了,但我深知自身水平所以没有深入。

最近偶然间在 SSL Labs 看到了贵坛的网址


发现贵坛的服务器设置似乎有一定的问题
我原以为支持 SSL3 是为了照顾老设备
但贵坛的服务器仅仅支持 TLS 1.0 和 SSL3

这个配置似乎不太合理,不知道是处于什么考虑才这般设置。

除此之外,我发现由于贵坛使用的是 Linode,并且该IP段已被拉黑的原因,因此无法访问 http 。

我原本想建议贵坛将域名添加至 HSTS preload list ,这样之后,用户访问 http 就会自动跳转至 https 。
而贵坛的 SSL 证书仅仅签名了 bbs.cdbook.info ,HSTS preload list 需要在 一级域名(cdbook.info)设置 HSTS 才行。

所以除非贵坛更换证书(例如免费的 Let's Encrypt),否则是无法添加 HSTS preload list 的。

最后,很高兴看到贵坛将 LOGO 的链接指向修正了。
     此致
rjrw 发表于 2020-2-17 08:02:59 | 显示全部楼层
谢谢指出!因为个人原因可能要几天后才能有时间研究此事,如有新反馈会继续回帖跟进,谢谢。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
匿名  发表于 2020-2-17 11:57:43
rjrw 发表于 2020-2-17 08:02
谢谢指出!因为个人原因可能要几天后才能有时间研究此事,如有新反馈会继续回帖跟进,谢谢。 ...

好的,这是两篇参考文,不过作者已经许久没有更新了,可能需要自行校对一下
imququ.com/post/enable-tls-1-3.html
imququ.com/post/my-nginx-conf.html

例如

最新的 Nginx Stable 为 1.16.1
OpenSSL 1.1.1 为 1_1_1d

第二篇文章中

Cloudflare 补丁 已不再适用

Let's Encrypt: github.com/acmesh-official/acme.sh/wiki/说明

HSTS: hstspreload.org ,第二篇文章中的配置里有相应配置。
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
800kjz 发表于 2020-2-19 20:00:56 | 显示全部楼层
果然很专业啊!
TTY123 发表于 2020-2-20 14:59:12 | 显示全部楼层
好专业啊 完全看不懂
rjrw 发表于 2020-2-20 18:54:43 | 显示全部楼层
游客 113.64.93.x 发表于 2020-2-17 11:57
+ S# g# O0 Z2 i) w1 q好的,这是两篇参考文,不过作者已经许久没有更新了,可能需要自行校对一下
' O) E% P# \* ~1 N& h4 n8 kimququ.com/post/enable-tls- ...

7 u& Z2 d7 J" }5 M8 h升级了nginx为1.17,TLS支持到1.2,去掉了SSL3的支持。% f% _  o) N, l0 ~
对1.3的支持暂时不处理,这个涉及到openssl的升级,暂时不想捣鼓它,有风险,弄挂了服务器修复起来会比较麻烦。(系统版本比较旧了)
8 _" d# \& B# I7 ?$ ?8 @
* w/ {2 I6 h+ U证书在最初就是用Let's Encrypt的,但服务器上运行自动更新证书的程序会报错(最初3个月第一次更新时没事,第二次更新时就挂了),所以才换成了现在这样证书。而且www域或者说根域吧,其实没有启用的计划(坛主一直没打算用),如果在非墙访问的情况下域根会跳转到bbs域,而bbs域,在http能访问的情况下,是会跳转到https的(这个设置一直有),只是大部分墙内用户其实都不能访问http。
+ K' }$ d: P7 u; o' L# s$ \- E' V, J" T* x' R
其实,构建https的初衷只是为了解决大部分用户墙的问题。
sai 发表于 2020-2-20 23:23:03 来自手机 | 显示全部楼层
专业!以前只是知道https是加密协议可以翻墙,没想到背后有这么多知识点!
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
匿名  发表于 2020-2-21 01:39:17
rjrw 发表于 2020-2-20 18:54
升级了nginx为1.17,TLS支持到1.2,去掉了SSL3的支持。
对1.3的支持暂时不处理,这个涉及到openssl的升级 ...

好的,那么其实在 https 上也是可以启用 HSTS 的,这样坛友在第二次访问论坛时就可以不再输入 https 协议头了,直接输入 bbs.cdbook.info 即可打开论坛,在 http 被阻断的情况下比 301 跳转好用。
在 Nginx 443 段加入
  1. add_header Strict-Transport-Security "max-age=63072000; "
复制代码

即可
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
cyp123004 发表于 2021-1-23 00:07:03 | 显示全部楼层
真大佬。。。。不明觉厉。。
吃草的绵羊123 发表于 2021-4-28 17:48:00 | 显示全部楼层
看不明白,应该是浏览器的问题
bttommasi 发表于 2021-5-23 00:13:21 | 显示全部楼层
完全看不懂啊?是硬件方面的问题吗
在【意见留言】区提建议,采用者奖励威望! 参与者都有奖~
bttommasi 发表于 2021-7-24 20:22:29 | 显示全部楼层
好专业,看不明白
ZKCDN 发表于 2021-7-26 20:43:05 来自手机 | 显示全部楼层
认真看完了,居然没看懂。
DDL789123 发表于 2021-10-1 08:54:29 | 显示全部楼层
好专业,看不明白
DDL789123 发表于 2021-12-16 20:04:20 | 显示全部楼层
* y  L6 \4 r7 O3 L
好专业啊 完全看不懂
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|CDBook

GMT+8, 2024-3-29 19:30 , Processed in 0.161206 second(s), 20 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表