首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

哈哈,成功开启 TLSv1.3!

  •  
  •   ddid · 32 天前 · 5791 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上网查资料的时候看到了 TLSv1.3 这个东西,简单的说,就是 HTTPS 站点用了这玩意,更安全,更快速。
    看了下我的站,是 1.2 版,新版强迫症不能忍!马上放下一切工作,准备升级到 TLSv1.3 !
    可是在实际操作中发现,这货去年的 8 分才刚刚发布正式版本,网上的关于此的教程是少之又少,跟着他们的教程走,根本行不通!,没办法,那就广撒网!加了几十个 IT 类 QQ 群,各种 IT 类网站提问,这在也问了 https://www.v2ex.com/t/527877 可是一天一夜下来,没有得到一点有帮助的信息……
    我是即绝望又无奈,但是不甘心,我想目前可以确定浏览器是绝对支持的,所以我这个问题应该是我服务器这边的问题,而我服务器这边和 TLSv1.3 有关,就 Nginx 和 OpenSSL 这俩,好,那我去看文档!
    天助我也,在查看 Nginx 文档的时候,我就一看发现奥妙所在,正如我那个提问帖子的一楼所说,问题所在就是因为:Nginx 配置文件少写了东西!
    哎,你们永远都不知道,靠着自己那股执念,独立解决问题后的那种快感!

    第 1 条附言  ·  32 天前
    又知道了 QUIC 和 Brotli,新东西真多,哈哈已经开始折腾了!
    都是谷歌的,真牛逼,以后根本不能拿谷歌和某搜索引擎比较,一个无良广告公司,一个 IT 高科技公司,根本不是一个档次。
    第 2 条附言  ·  32 天前
    是,谷歌也是广告公司,但是本质区别是:
    谷歌用符合法律和道德的广告去盈利,然后去推动互联网技术的发展。
    第 3 条附言  ·  32 天前
    趁着帖子有点热度,顺便再问下:
    DDNS 站点,没有固定的公网 IP,有没有办法接入 Cloudflare 呢?
    74 回复  |  直到 2019-01-19 13:05:27 +08:00
        1
    Vegetable   32 天前
    我觉得很多人都知道吧..
        2
    Archeb   32 天前
    我在某旧版本的 CentOS 下启用,也就是重新带 openssh 编译了下 nginx...

    如果是足够新的发行版 估计升级下 nginx 直接 ssl_protocols 加上 TLSv1.3 就好了吧...
        3
    Archeb   32 天前
    *openssh -> OpenSSL
        4
    goodryb   32 天前   ♥ 1
    “网上的关于此的教程是少之又少” 楼主你不要骗我,两个月前我搞的时候网上就很多资料了吧
        5
    trafficMGR   32 天前
    折腾完 TLSv1.3 还可以继续试试 QUIC,嘻嘻😁
        6
    ladypxy   32 天前 via iPhone
    这玩意一年前就大把教程好吧……
        7
    ech0x   32 天前 via iPhone
    问 QQ 群这步根本不需要吧,直接看文档不行吗?
        8
    hilbertz   32 天前
    感觉挺可怜的,现在才知道
        9
    xiaoz   32 天前
    分享下思路和配置呗,我同样的环境同样的配置,一台开启成功,一台死活不生效。
        10
    Windy00   32 天前
    tls1.3 测试时,博客就启用了支持,看看 ququ 的博客吧,教程很详细
        11
    mydns   32 天前
    那么奥妙是?
        12
    julyclyde   32 天前
    加了几十个 IT 类 QQ 群,各种 IT 类网站提问,没有得到一点有帮助的信息

    这简直就是理所当然的啊
        13
    pathbox   32 天前 via iPhone
    谷歌应该是世界上最大的广告公司了,哈哈
        14
    a22271001   32 天前 via Android
    caddy 秒配置完成
        15
    maojy1989   32 天前
    上半年看过 TLSv1.3 chrome 默认是不开启的,需要自己改 chrome 的设置来开启,还有如果服务器只设置 TLSv1.3 的话好像不支持的浏览器就不能访问了
        16
    shengyu   32 天前
    @a22271001 #14 Caddy 目前支持到 TLS1.2 TLS1.3 需要等待上游 Go 1.12 release
        17
    littlewing   32 天前
    所以说,楼主测试之后 TLSv1.3 比 1.2 安全多少,块多少?
        18
    ddid   32 天前   ♥ 1
    @littlewing 这不是重点,我用它不是为了安全多少,快多少,因为他是最新版,我只用最新版的东西。
        19
    yexm0   32 天前 via Android
    @littlewing 单就隐藏域名这一点就能艹翻 1.2 了
    https://blog.cloudflare.com/encrypted-sni/
        20
    yzc27   32 天前 via iPhone
    @Archeb 現在發行版的 nginx 支持 tls1.3 了嗎?我的 nginx 是在 debian 系用 apt-get nginx 官方源安裝的。
        21
    frylkrttj   32 天前
    https://www.wwc.ren
    试了下,比打开百度还快。
        22
    jhdxr   32 天前   ♥ 3
    谷歌用符合法律和道德的广告去盈利???

    你怕是不知道谷歌被罚了 5 亿美金,就因为谷歌**在知情的情况下依然主动帮助出售非法药物的人打广告** ( https://www.wired.com/2013/05/google-pharma-whitaker-sting/)

    没有谁比谁高尚,只是中国罚的不够狠而已
        23
    masker   32 天前 via Android
    谷歌一搜不是大把大把的资料?
        24
    frylkrttj   32 天前
    www. 可以省掉了
        25
    ddid   32 天前
    @frylkrttj 我也在要不要保留 www 上纠结了好久,最终还是决定保留,一是情怀,二是去掉的话,怕以后在解析方面上有不可预知的麻烦……
        26
    ddid   32 天前
    @jhdxr 哎,不纠结这个了,总体来说,谷歌比那谁强很多,这个是无可争议的吧。
        27
    egen   32 天前
    https://36kr.com/p/5151805.html
    如果按照中国标准,谷歌的医疗广告是否合规?
        28
    xuminzhong   32 天前
    这有什么难的啊,不就一句的话的事吗,30 秒搞定的。
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        29
    xuminzhong   32 天前
    @maojy1989 现在默认是开启的。

    ![2019-01-18_145853.png]( https://pic.xumz.me/imgs/1901/Other/2344974660953.png "2019-01-18_145853.png")
        30
    Librazy   32 天前
    @yexm0 #20 esni 现在只有 Chrome 和 Firefox 浏览器最新版支持和 Cloudflare 支持,nginx 现在在等 openssl,所以真正服务器用上估计还要等几个月。
        31
    wszgrcy   32 天前 via Android
    。。。。我记得去年年初刚接触后端,nginx+caddy+免费证书搞的很有成就感,后来发现没人关心这个。。。
        32
    gaby2018   32 天前
    @ddid 楼主这追新的习惯怕是要吃亏。
        33
    BXIA   32 天前 via iPhone
    这是常识吧
        34
    bumz   32 天前
    https://www.linuxbabe.com/ubuntu/enable-tls1-3-nginx-ubuntu-18-04-16-04

    Google 英文搜索随便一搜就搜到了

    觉得网上资料少可能因为你不会搜索吧……
        35
    bumz   32 天前
    @xuminzhong #29 得用 openssl 1.1 编译且 nginx >= 1.13
        36
    Archeb   32 天前
    @yzc27 没用过 debian,不过 archlinux 的肯定支持了(逃
        37
    xuminzhong   32 天前
    @bumz Debian 8 和 9 自带的 openssl 和 nginx 都满足,所以添加一句配置就搞定。
        38
    aloyuu   32 天前
    这个比较好开启.教程较多
        39
    luminous   32 天前 via Android
    去年网上的中英文资料都不少了 而且那时候 final 还没出 final 出了资料更多了 也不难搜到
        40
    anguiao   32 天前
    ququ 的博客写得很清楚,照做就 OK 了
        41
    youthfire   32 天前
    想到了我去支持 WebP 图像格式,最后发现虽然载入速度快了,但损失了 Safari 和其他老浏览器的访问量,然而速度又不是质的提高,又折腾回 jpeg/png。就当学习过程了。
        42
    Love4Taylor   32 天前
    @Librazy #31 啊? Chrome 支持 ESNI 了?

    哦对了 楼主啊 记得开 0-rtt 也就是 ssl_early_data on;
        43
    anguiao   32 天前
    QUIC 现在比较流行的 web server 里面只有 caddy 是支持的,但是 caddy 又没什么好办法开启 brotli。
    其实折腾这些都没啥大意义,弄了一大堆配置,结果博客写不了几篇。
        44
    liuwei666666   32 天前
    我也开启了 HTTPS
    www.sphard.com
        45
    Love4Taylor   32 天前
    @youthfire #42 根据 Accept 来判断浏览器是否支持不就行了
        46
    wysnylc   32 天前
    HTTP3 使用 QUIC 协议,研究 HTTPS 还不如研究 HTTP2
        47
    Librazy   32 天前
    @Love4Taylor #43 抱歉搞错了,似乎只有 Firefox
        48
    RobertYang   32 天前 via Android
    “少之又少” 你可把大家伙儿逗乐了
        49
    markgor   32 天前
    那个...
    其实我觉得二楼总结的很对...

    只要 openssl 更新后,重新 make 下 Nginx,protocol 加上 TLSv1.3 就可以了...不会很难找资料吧.....
    不过 QQ 群肯定问不到人的。


    还有,想问问有多少浏览器支持?
    我觉得有个很尬的地方就是浏览器的支持,
    之前有个合作单位的技术科找我们,非要我们把他们的系统改为 http2,
    然后我们帮忙弄证书,改配置,终于弄好了,一周后他们说更换了 http2 加载快了很多。
    两周后我们到他们现场开会,发现他们用的都是 IE8.0............
        50
    laucenmi   32 天前
    @xuminzhong 准确的说是 openssl 1.1.1, 目前 debian 9 源里面是 1.1.0j ,不能直接支持的。
        51
    WhoMercy   32 天前 via Android
    @egen 按照中国的法规,就不应该看到谷歌
        52
    A3   32 天前 via Android
    ddns
    cf 有 API 可以修改,后端拿到新的 IP 就可以修改
        53
    ddid   32 天前
    @Archeb 突然想起有一次升级 SSH 后,死活启动不成功,最后检查配置文件才发现启动路径写成了 openssl ……
        54
    shiny   32 天前
    还有 tcp fastopen 和 tcp bbr, OCSP Stapling,ecc 和 rsa 双证书。折腾永无止境。
        55
    ddid   32 天前
    @shiny tcp fastopen 和 tcp bbr 之前已经折腾完毕,我再研究研究后面的
        56
    shengyu   32 天前
    既然国内了为啥要上 cloudflare 呢 比如腾讯云 cdn 可以指定回源域名和端口
        57
    oyosc   32 天前
    资料记得一大把吧,楼主莫非你是用的某搜索引擎?
        58
    ddid   32 天前
    @shengyu 未来会有这个需求,知识储备
        59
    iwtbauh   32 天前 via Android
    @littlewing

    别的不说,1.3 强制支持前向保密,服务器私钥泄漏都不会影响历史数据的。
    1.2 仍支持不支持前向保密的密码套件
        60
    dalieba   32 天前 via Android
    @youthfire 过几天 Firefox 65 来了你就可以放心大胆的用 WebP 了,另外推荐一个库: /t/453052
        61
    zi   32 天前
    Cloudflare 支持 cname 记录加速
        62
    shayang888   32 天前
    google.com 都是 TLS1.2
        63
    msg7086   32 天前
    SB 维护的 Nginx Debian 9 Repo 就支持 TLSv1.3 和 Brotli。安装以后,开启功能都只要改 Nginx 配置文件就行。

    https://mirror.xtom.com/sb/nginx/
        64
    yexm0   32 天前
    @shayang888 总得有个过程吧...
        65
    nlzy   32 天前 via Android
    刚刚在 Debian Testing 试了下,改一下配置文件就能开 TLSv1.3

    话说自己编译新版 OpenSSL 安装到系统上,真的不怕把依赖关系弄炸么?
        66
    nlzy   32 天前 via Android
    @iwtbauh 连 TLSv1.0 都支持前向保密...
        67
    janxin   31 天前 via iPad
    @yexm0 1.3 不支持域名加密的,而且只有 Firefox 支持这功能…
        68
    janxin   31 天前 via iPad
    @nlzy 不替换默认没问题的呀
        69
    Yuicon   31 天前
    我只是看了个帖子 就永远都不知道,靠着自己那股执念,独立解决问题后的那种快感了! 楼主优越感有点强
        70
    Servo   31 天前
    我如果说 Chrome 还未支持 0-RTT HTTP Too Early,你会不会觉得难过?
        71
    iwtbauh   31 天前 via Android
    @nlzy

    可能我说的有歧义,我说的是“强制支持”。我没说旧版本没有支持前向保密的密码套件啊。意思是 1。3 没有不支持前向保密的套件了。
        72
    luvmhx   31 天前 via iPhone
    @jhdxr 至少谷歌是有人能罚的 你看看百度的嚣张程度谷歌能比吗
        73
    BOYPT   31 天前
    “教程是少之又少” 大概是因为英文不好。
        74
    picone   31 天前
    真厉害,讨论个 TLS 竟然还能上升到谷歌和某搜索引擎的对比,反正外国的空气特别香。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   841 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 20:37 · PVG 04:37 · LAX 12:37 · JFK 15:37
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1