Nginx启用Certificate Transparency支持

2016-02-13T14:26:00

随着HTTP/2逐渐推广起来,SSL证书迟早将会成为互联网站点的标配。作为个人用户,现在Let‘s encrypt、Startssl、沃通(无洁癖的话)都提供免费的SSL证书。为了推广Certificate Transparency谷歌决定在新版本的Chrome中取消没有Certificate Transparency的EV证书的小绿条,Certificate Transparency的具体作用请参照Jerry Qu的博文,虽然一般个人用户玩不起EV证书,但是可以启用Certificate Transparency装装逼。


具体的步骤Jerry Qu大大的博文中已经非常详细,我这里不再赘述只是做点补充:

ct-submit是用来获取sct文件的,这个页面里有很多CT服务器,但是以google为主的CT服务器因为众所周知的原因在大陆无法访问,可以用境外的VPS获取sct文件之后在拿到墙内来用,nginx支持的sct文件大小为117B,可以用xxd holmesian.sct来查看是否正确。

    cd openssl && patch -p1 < ../sslconfig/patches/openssl__chacha20_poly1305_cf.patch 

大大推荐使用 CloudFlare Patch 过的 OpenSSL,但是在有的环境中打了这个补丁之后可能编译无法通过,如果你遇到了不打这个补丁即可,nginx-ct插件依旧可以编译成功并正常使用。


    ssl_ct_static_scts   /your/path/to/scts;
    ssl_ct_static_scts的值是sct文件所在的文件夹,不是sct的文件名,否则nginx会报错。

好了,别的没什么,今年春节也就这样莫名其妙地在陪我家灵活的孕妇到处去浪中过完了。

当前页面是本站的「Baidu MIP」版。发表评论请点击:完整版 »