关于 https 证书的浏览器向下兼容性问题

ecc 证书的话无论怎么配置都有些不能兼容的
"并不是所有浏览器都支持 ECDHE 密钥交换，也就是说 ECC 证书的兼容性要差一些。例如在 Windows XP 中，使用 ECC 证书的网站只有 Firefox 能访问（ Firefox 的 TLS 自己实现，不依赖操作系统）； Android 平台中，也需要 Android 4+ 才支持 ECC 证书。"

但是 nginx 目前已经支持配置多个证书了

不支持的浏览器的访客基本也可以忽略了

debian 的 wget 无法正确的解析 ecc 证书

这个站点配置了 ECC+RSA 两种证书，也就是说自动检测 UA 然后发送对应的可兼容的且强度最大证书给客户端。
另外这个兼容性不仅仅和 ECC/RSA 有关系，还有和 cipher 有关系。
举个例子，比如我这个爆破掉的 https://etula.me ，曾经有段时间仅仅支持 AES-GCM ，使得一大堆老系统全数爆炸（当然现在配置了 AES-CBC 所以兼容性好了一些）
至于 x25519 这个 cipher ，现在更是少。目前我所知道的只有 boringssl 、 chromium/chrome 还有 openssl1.1.0 支持………

@VmuTargh 纠正一下 我那个站点的 cipher 不知道什么时候被我改回 aes-gcm only 了……😂😂😂😂

@VmuTargh 哦 请无视上面回复 是我脑子秀逗了😓😓😓

@VmuTargh 检测 UA ？？？？？？

@isCyan 这个确实是如此，因为 baidu 也是类似的机制。试试看用 opera12.18 不改 UA 去访问百度，再 cp 一个 ff40 的 UA 过去。你会发现前者没有，但是后者有（ opera12.18 支持新的 key exchange 还有 cipher

刚刚搜了一下，可以用 Nginx 做双证书

https://imququ.com/post/ecc-certificate.html#toc-2

Append for httpd: https://serverfault.com/questions/665296/can-i-use-both-rsa-and-ecc-certificates-in-apache

@VmuTargh Waht! SSL 握手都没完，连接都没建立，你怎么发送 Header ， UA 是在 Header 里的。不是 UA ， 是直接和浏览器交换加密方式，看看浏览器支不支持。 @qgy18

@letitbesqzr 我配置了 rsa 和 ecc 证书，但还是有一些浏览器不兼容，报告如下 https://www.ssllabs.com/ssltest/analyze.html?d=download.examvces.com&hideResults=on

你的安全设置太严格了 允许一些老加密方法 再安装双证书就行了

不需要那么高…… A 就行了

@isCyan 你说得对。
楼主你搞成双证书兼容性就差不多可以了。
剩下一些不支持 SHA-2 证书，不支持 tls1.0+ 协议的终端无视好了。

@qgy18 话说用 fiddle 抓包的时候可以看到 UA 是什么黑科技……并没有信任那个根证书

如果现在还有 SHA-1 证书，那么双证书真心完美了

@lslqtz Google chrome browser giving error and blocking SHA-1 certificate as per https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html

@Williamp 如果........

If any website is using SHA-1 certificate