关于AES256-GCM-SHA384的兼容性问题

前几天在配置TLS-Web服务器 中提到，SHA256和AES256是坠吼的！于是在我的这篇折腾X25519的两三事 里，启用了 ECDHE-ECDSA-AES256-GCM-SHA384的加密套件，而实际上效果还是有点兼容性问题的。

因为 ECDHE-ECDSA-AES256-GCM-SHA384这样一个加密套件实在有点新，导致大部分国产浏览器都无法访问我的站点。不仅如此，甚至连谷歌的抓取爬虫都不支持，如下图所示，凡是红色，提示暂时无法访问的都是开启AES256时候的情况。

折腾X25519的两三事

为什么我想试着折腾X25519

我前几天手贱，没事升级了chrome到55版本，作为一个懂一些web安全和只懂一点点密码学的人，没事喜欢打开F12随便看看，然后我看到谷歌官网有如下内容：

瞬间对这个感兴趣了，这是什么？然后点开origin，刷新页面：

可以看出X25519是一个密钥交换方面的内容，当我具体谷歌那些内容的时候，发现看的都不太懂。本身英语是可以看懂技术文档的，但是X25519相关文献涉及到密码学的知识，看着还是很吃力，于是向微博上一位对安全和密码学很有研究的牛人求助(@比尔盖子)：

写在前面：这个文章会持续更新，主要记录了我部署https踩过的一些坑，也分享给大家。我非常非常能理解，如果弄一个东西弄不好，连续搞了几天的痛苦和麻烦。如果这篇文章能帮到哪怕一个人，那它就是成功的。

关于https实践的若干细节

HPKP失效不起作用

HPKP全称是(HTTP Public Key Pinning)，中文名叫做HTTP公钥钉扎（火狐说法），大部分叫做HTTP公钥固定扩展，这个特性火狐从32、chrome从38开始支持。更多关于这个特性的细节，可以看看屈屈（曲光宇）的文章HTTP Public Key Pinning 介绍，其实人家文章里也说了，HPKP里面要至少启用两个才可以。实际上这句话没有说的特别清楚，如果你只启用了一个，那么浏览器是不会开启HPKP功能的。

写在最前，本篇博客内容是完全翻译自一个PPT，该PPT是纯英文版的，我将其翻译成中文，并且以博客的形式展示，其中可能有格式上的改动，内容上也会有修改。

原PPT来自北京GNU/Linux用户组的比尔盖子biergaizi@member.fsf.org，我做了一些改动，如果有引用别人的地方未标出的，或者怀疑是被我改了的，请在评论区留言，我也会及时查看注明。

评论区在每个博文页面的最下面，就是一个disqus的DIV，需要翻墙

另外要说的是，我自己对于密码学懂的很少，因此翻译的时候尽量尊重原文。还有某些知识点我可能是不求甚解，只说出结论，如果想深挖的同学还需翻阅其他资料，这里偏入门向一点。

配置TLS Web服务器

你真的安全吗

首先让我们看一段配置文件：

1
2
3
4
5
6
7
8
9

server {
  server_name example.com;
  listen 127.0.0.1;
  listen 127.0.0.1:443 ssl;
  ssl_certificate example.crt;
  ssl_certificate_key example.key;
  ssl_protocolsSSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers HIGH;
}

有的同学一看这样的配置文件，可能会禁不住发出这样的感叹：“Wow! Such TLS! Very Secure!”，并且露出以下表情：

可是事实上它真的安全吗？我们可以一条条看。

一次简单的http请求过程

等待以后完成

关于Nginx的server_name失效问题

昨天部署个人站的时候，发现一个很生气的情况，我的Nginx在server块中，写了server_name blog.ruiruigeblog.com

,可是我访问https://www.ruiruigeblog.com的时候，还是给我正常打开了，而且打开的内容和https://blog.ruiruigeblog.com一样，这显然不是我想要的，看起来就像是`server_name`失效了、不起作用了。

经过一番研究，具体见Nginx关于server_name的官方日志，嫌麻烦的可以看参考文献最底下segmentfault的那条，大致意思我们配合一个例子来说：

关于Nginx的add_header失效

今天配置Nginx服务器时，发现只要我在location里面配置了add_header，就会导致server里面的add_header失效，这无疑是非常郁闷的。这里先给出部分配置文件：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

server {
  listen 443 ssl http2 fastopen=3 reuseport;
  server_name ruiruigeblog.com www.ruiruigeblog.com;
  include server_safe.conf;
  add_header aaaa aaaa;
  add_header bbbb bbbb;
  
  root /XXXXXXXXXX/;

  location ~^ /static/ {
    include location_safe.conf;
    etag        on;
    add_header cccc cccc;
  }
 
  location / {
    include location_safe.conf;
    etag        on;
    expires     max;
    add_header dddd dddd;
  }

配置你的Polipo

Polipo是一款很好用的代理服务器，我使用它的原因有：

• 支持二级代理，即把别的代理服务器作为Polipo的上游服务器
• 支持Http、Socks5、Https等多种协议
• 有一定的缓存能力
• 使用简单

这个博客主要讲述了如何安装、配置Polipo，并且给出了一定的优化项，最后给了一个定时拉起Polipo的脚本。

搞定自己的第一个服务器/VPS/云主机

服务器选择

在我这里，服务器选择主要考虑服务器的规格、厂商服务&功能、链路、价格、虚拟化、能否你懂的这几个方面。

服务器规格

CPU

​ 如果你是折腾VPS的老手的话，可以略过本节。一般情况下第一个服务器不要用配置太高、太贵的，没必要，以我的个人经验，服务器一般贵在内存和带宽（流量）。

​ 先说CPU，一般CPU比较便宜，随便一个傻逼服务器都有很多cpu。服务器的CPU到底是怎么回事呢？（嫌麻烦的可以直接看本小节的总结）

​ 以一个至强E5-2640V3 来说，单个CPU芯片有6个物理核，开启HT（超线程）后有12个HT（逻辑核心）。这里的超线程HT和家用电脑的概念是一样的，我家里是i7-3770K的CPU，是4核8线程的，可以看出是好几年前的了，很老了。然后话再说回来，服务器上的至强E5-2640V3 CPU是支持双路的，即一台服务器可以同时插两个一模一样的，那么这台服务器上一共就是 6 2 2 = 24 个逻辑CPU（HT）。

搭建自己的个人博客(1)

使用hexo搭建自己的个人博客

如果你在建个人站方面也是个新手，并且想快速地、不费劲地将一个博客布置在自己的服务器上；同时还想有点追求方便以后进阶折腾，那么我的这篇文章你可以参考下