为什么加上这行之后很多手机浏览器就打不开 https 的加密连接了？

2016-12-09 17:48:45 +08:00

doubleflower

把 Ubuntu 16.04 里的那个 nginx.conf 改了改用在了 debian 里，里面有这么一行（这行出现在 Ubuntu 官方的默认配置里）

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE

加上之后很多手机浏览器就打不开了，包括 Android 4.x/5.x 上的 UC 家那个， 360 浏览器之类都不行。

5242 次点击

所在节点

10 条回复

alex321

2016-12-09 18:00:16 +08:00

https://www.ssllabs.com/ssltest/

手机不支持 ssl 协议类型，类似 ie6 无法打开很多 ssl 站点，比如支付鸨。需要在 Nginx 中配置多个支持。

jsteward

2016-12-10 06:44:43 +08:00

在採用激進的協議版本之前應該考慮是安全性還是兼容性更重要。（反正咱都是直接 drop 了這種客戶端的支持 (〃ω〃)

doubleflower

2016-12-10 07:24:05 +08:00

@jsteward 作为一个发行版默认设置太激进了，别的发行版都没这么做。至少应该是注释掉的让用户自已打开。
这个设置会影响一大部分国产浏览器，包括最新版本。

昨天迁移系统发行版，同时需要改了很多东西，结果一上线一大堆用户反应打不开网站，我本地却没问题，找了半天才发现原因，巨坑啊。

ghost444

2016-12-10 11:02:28 +08:00

@doubleflower 留着 POODLE 这么一个漏洞在 release 里会被喷得更惨……

julyclyde

2016-12-10 12:39:19 +08:00

@doubleflower 哪个最新版本国产浏览器这么残疾啊？

doubleflower

2016-12-10 13:02:37 +08:00

@julyclyde UC 家的夸克浏览器（ UCWEB 没试，应该也差不多）， 360 手机上的 360 浏览器，都是最新版。 android 原生的没问题，哪怕是 4.x 上的。

Hardrain

2016-12-11 00:08:21 +08:00

难道那俩国产的浏览器最高支持到 SSLv3?

yexiaoxing

2016-12-13 03:10:47 +08:00

SSLv3 早就不推荐用了…国产浏览器也是厉害的。
http://disablessl3.com

40huo

2017-01-12 11:41:54 +08:00

我加了 SSLv3 ，好像夸克浏览器也不行。。。

doubleflower

2017-01-12 11:47:14 +08:00

@40huo 我这里把这行去掉就可以了，加上就不行。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.