看看是不是证书链不全

是的，官网客服可以还价，部分型号的降价幅度还不低，当时买了个 U2720DC，比京东便宜 1200 块。

也可以看看是否定义了 CSP，并拒绝了所有混合内容。

访问这个网页的设备固定吗？如果固定的话，反响代理可以直接建在本机上，就不存在网络压力了。

通过威胁我，让我付费，想问问罗翔老师这算敲诈么。。。

@wsy2220 本来用那个什么下一代互联网国家工程中心的 v6 dns，确实淘宝之类的都卡的一批，换了阿里云的 v6 dns （ 2400:3200::1 ），一切都正常了，速度和 v4 基本没区别。

@ayukas 我这边不申请开通就拿不到 v6 的地址

错觉吧，chrome 不验证 crl 和 ocsp，所以网页速度和证书基本没任何影响

主要是现阶段的 wifi6 AP 都很贵

@opengps 如果只是单独一台路由器的话，可以提升内网的效率，因为看到一些 mesh 的路由和一些 AP 也是打着 wifi6 的名号，但是网口都只是 1000 兆的，所以有点疑问。

dns 劫持和 https 有什么关系

@GDC 我觉得 CDN 厂商是没胆子做这种事的，一般 CDN 投毒大多发生在 CDN 和 源站之间用 HTTP 传输数据。

Apple 的域名并不在 HSTS Preloading 的列表中，所以理论上用户访问 http 时运营商是有机会进行劫持的，因为存在 http 301 明文的阶段。

@watara TLS1.3 协议要 Openssl1.1.1 以后才支持，你压根不支持 1.3，估计 nginx 直接调默认配置了，按道理你启动肯定有警告信息的。

SSH 端口外网访问不到，我们周三上班，不着急的话周三可以发给你。但是我还是觉得是你 ssl_ciphers 配置有问题。

https://202.96.220.171/
https://wiki.shca-inc.com/

和你需求类似的示例，同一台主机，IP 配置了张自签的证书，域名使用 LE 的证书，理论上肯定是没问题的。
也是 nginx

可以做以下尝试
1. ssl_prefer_server_ciphers on; 设置为 off
2. ssl_protocols TLSv1.3; 调整为 TLSv1.2 TLSv1.3
3. ssl_ciphers 做下调整 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

简单分析一下，楼主可以使用 openssl ciphers -V 命令查看服务端支持所有的 CipherSuite, TLS13-XXX 这种写法我印象中已经从 openssl 已经移除了，所以你配置中的所有 1.3 的 CipherSuite 全是无效的，另外你启用了 ssl_prefer_server_ciphers，所以你配置里第一个可用的 CipherSuite 就是 RSA+AES128，被降级到 TLS1.0 很正常。
另外我还怀疑楼主的 Openssl 版本压根不支持 TLS1.3 ..........

SSL 的配置可以使用 Mozilla 提供的 SSL Configuration Generator [https://ssl-config.mozilla.org/] 工具生成配置文件，比较推荐。