V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
kalsolio
V2EX  ›  NGINX

使用 nginx 网站开启 http2 之后 是不是 ie 用户就无法正常使用了

  •  
  •   kalsolio · 2016-01-26 16:04:16 +08:00 · 5296 次点击
    这是一个创建于 2985 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Your browser does not support HTTP2, and test results will be inaccurate. Please use the latest version of Chrome or Firefox. (List of supported browsers).
    只有 chrome 和 firefox 的用户才能正常访问吗
    nginx 是不是智能判断呢?

    12 条回复    2016-01-27 12:54:13 +08:00
    TrustyWolf
        1
    TrustyWolf  
       2016-01-26 16:14:33 +08:00
    不会, HTTP/2 是向下兼容的,就好比 USB3 与 USB2 的关系一样。
    ivmm
        2
    ivmm  
       2016-01-26 16:51:07 +08:00
    不支持 h2 的,默认 http/1.1 ,你可能是安全措施做太严格了,哪些低级浏览器就不兼容了
    davidyin
        3
    davidyin  
       2016-01-26 17:04:34 +08:00
    是不是你的 SSL 设置的关系。
    Flygoat
        4
    Flygoat  
       2016-01-26 17:10:05 +08:00 via iPhone
    可能是开了 HTTP/2 Only 。
    kalsolio
        5
    kalsolio  
    OP
       2016-01-26 17:46:19 +08:00
    @davidyin

    ssl_session_timeout 5m;
    ssl_protocols SSLv3 TLSv1;
    ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM;
    ssl_prefer_server_ciphers on;


    提示这个了 ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
    raysonx
        6
    raysonx  
       2016-01-26 18:08:02 +08:00
    @kalsolio 這個提示是 Chrome 給出的吧? Chrome 對安全性要求比較高,選用安全性比較低的協議和加密方式可能會導致 Chrome 拒絕 HTTPS 連接。
    首先建議你關掉對 SSLv3 的支持,因為這種協議不安全。
    加密算法方面我用的是
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DSS:!DES:!RC4:!3DES:!MD5:!PSK;
    sin30
        7
    sin30  
       2016-01-26 18:35:20 +08:00
    https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成配置
    https://www.ssllabs.com/index.html 浏览器测试覆盖率
    TLS1.0 TLS1.1 TLS1.2 开着就行, SSL 都关掉。
    maxsec
        8
    maxsec  
       2016-01-26 18:39:11 +08:00
    cipher_suit 的问题,请去屈屈的博客
    qgy18
        9
    qgy18  
       2016-01-26 20:54:01 +08:00 via iPhone
    qgy18
        10
    qgy18  
       2016-01-26 20:54:59 +08:00 via iPhone
    @kalsolio http/2 必须 tls v1.2+
    Arthur2e5
        11
    Arthur2e5  
       2016-01-26 22:50:46 +08:00
    > and test results will be inaccurate

    所以那个网站测什么的?网络延迟? TLS 加密算法支持?准确性依赖 HTTP/2 特性的东西也不是不可能出现嘛。总之不要见风就是雨……

    @kalsolio TLS v1.2 什么的也要啊。你不如直接用默认值( TLS v1, TLS v1.1, TLS v1.2 ): http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
    kalsolio
        12
    kalsolio  
    OP
       2016-01-27 12:54:13 +08:00
    去掉 SSLv3
    使用
    Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    chrome 已经正常访问。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4443 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:03 · PVG 18:03 · LAX 03:03 · JFK 06:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.