Nginx启用Certificate Transparency支持

随着HTTP/2逐渐推广起来，SSL证书迟早将会成为互联网站点的标配。作为个人用户，现在Let‘s encrypt、Startssl、沃通（无洁癖的话）都提供免费的SSL证书。为了推广Certificate Transparency谷歌决定在新版本的Chrome中取消没有Certificate Transparency的EV证书的小绿条，Certificate Transparency的具体作用请参照Jerry Qu的博文，虽然一般个人用户玩不起EV证书，但是可以启用Certificate Transparency装装逼。

---

具体的步骤Jerry Qu大大的博文中已经非常详细，我这里不再赘述只是做点补充：

ct-submit是用来获取sct文件的，这个页面里有很多CT服务器，但是以google为主的CT服务器因为众所周知的原因在大陆无法访问，可以用境外的VPS获取sct文件之后在拿到墙内来用，nginx支持的sct文件大小为117B，可以用xxd holmesian.sct来查看是否正确。

    cd openssl && patch -p1 < ../sslconfig/patches/openssl__chacha20_poly1305_cf.patch 

大大推荐使用 CloudFlare Patch 过的 OpenSSL，但是在有的环境中打了这个补丁之后可能编译无法通过，如果你遇到了不打这个补丁即可，nginx-ct插件依旧可以编译成功并正常使用。

    ssl_ct_static_scts   /your/path/to/scts;
    ssl_ct_static_scts的值是sct文件所在的文件夹，不是sct的文件名，否则nginx会报错。

好了，别的没什么，今年春节也就这样莫名其妙地在陪我家灵活的孕妇到处去浪中过完了。

---

相关文章

• HAProxy 区分流量特征
• 临时处理OCSP域名无法访问的问题
• 443端口共用的方案
• PHP7与PHP5共存于CentOS7
• 记录OCSP Stapling的两个问题