bisend

【技术分享】Plesk上网站安装SSL证书后部分浏览器不能打开

2016-12-23 17:50 编辑: Demon 发表在 Plesk, SSL, 教程 我要评论

随着苹果、微信、微博等都开始要求使用https安全协议,越来越多的站长开始为自己的站点添加证书。Plesk用户通常能很轻松地安装SSL证书,因为Plesk上提供了免费数字证书的插件Let’s Encrypt,以及部分Plesk上可能预装了亚洲诚信发的免费数字证书插件TrustAsiasslTool。但是有用户反馈,使用Let’s Encrypt安装数字证书后,在chrome,IE等浏览器上用https访问正常,但部分版本的火狐,chrome,360浏览器上显示错误,如下图

从火狐的错误提示来看是因为安全等级太低了,火狐主动终止了连接。这里的安全等级主要是指https使用的密钥套件(Cipher Suite)是什么版本,如果产生这个Cipher Suite是火狐不认可的话,连接就会被火狐中断。

通过SSLLabs这个网站可以方便地检测目标网站支持的Cipher Suite。部分截图如下:

以及这个网站所做的握手模拟(Handshake Simulation):

 

在火狐47版本上报错,提示使用了黑名单中的算法——TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,发现它果然在一份公开的黑名单列表中。TLS 1.2 Cipher Suite Black List:

(列表太长,只罗列部分) 

• TLS_ECDH_RSA_WITH_RC4_128_SHA 

• TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA 

• TLS_ECDH_RSA_WITH_AES_128_CBC_SHA 

• TLS_ECDH_RSA_WITH_AES_256_CBC_SHA 

• TLS_ECDHE_RSA_WITH_NULL_SHA 

• TLS_ECDHE_RSA_WITH_RC4_128_SHA 

• TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 

• TLS_ECDH_anon_WITH_NULL_SHA 

• TLS_ECDH_anon_WITH_RC4_128_SHA 

• TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA 

• TLS_ECDH_anon_WITH_AES_128_CBC_SHA 

• TLS_ECDH_anon_WITH_AES_256_CBC_SHA 

• TLS_SRP_SHA_WITH_3DES_EDE_CBC_SHA

解决的方法可以从浏览器端和服务器端两方面考虑,前者可以关闭浏览器对http2的支持 

从中我们也知道了Plesk Onyx是默认支持http2的,而火狐也优先选择建立http2的连接

后者可以修改浏览器认可的cipher list(火狐可以使用插件Toggle Cipher Suites)

 

下面讲更好的修改服务器端的方法。简单说只需要执行下面的命令让测试中的火狐,360浏览器等都访问正常

RedHat/CentOS系统 

/usr/local/psa/bin/http2_pref enable 

Debian/Ubuntu系统 

/opt/psa/bin/http2_pref enable

注意事项:

要求安装了Plesk12.5.30#28及以上版本;

确保你的Nginx正常运行,且版本不低于1.9.14

通过SSLLabs可以看到,这个命令执行前,Cipher Suite顺序:

执行后,Cipher Suite顺序:

比较两张图可以知道 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 的排位更加靠后了,所以和浏览器的连接中更容易选中位于它前面的更安全的Cipher Suite,这时浏览器就不提示错误了。 

这一点也可以从support.plesk.com的一个回答中得到验证:

Q:After enabling of HTTP/2 some browsers are not able to connect to my web site. Why? 

A: HTTP/2 protocol specification defines that TLS 1.2 must be used for any implementation.Also it recommends to use strong ciphers list for encrypted connections. Check RFC #7540 for detailshttps://tools.ietf.org/html/rfc7540. Based on our security team research and opinion of Plesk experts community we choose a very balanced ciphers list that provides support for all modern browsers and “A” category in terms of security on SSLLabs: https://www.ssllabs.com/ssltest/index.html at the same time.If you have enought technical expertize on this you can simply customize ciphers list to allow support for old browsers.

翻译: 

问:在启用HTTP/2之后部分浏览器不能链接到我的网站,为什么呢? 

答: HTTP/2协议规范定义了它是建立在 TLS 1.2 协议之上的。它同时建议使用使用强度高的cipher列表用户加密传输。请查看RFC #7540获取详情。在我们安全研究团队和Plesk社区专家的建议下我们选择了一个比较平衡的cipher列表,并在SSLLabs上面对所有现代浏览器进行测试全部取得了A的评级。如果你在这方面有充分的技术经验,你可以自定义这份cipher列表去支持陈旧的浏览器。

总结:

如果用证书加密网站后在大部分浏览器中可以正常访问,只在部分浏览器中不能访问,并且有NS_ERROR_NET_INSDEQUATE_SECURITY(加密安全等级不够)之类的提示,可以先尝试下面的命令来解决问题

RedHat/CentOS系统 

/usr/local/psa/bin/http2_pref enable 

Debian/Ubuntu系统 

/opt/psa/bin/http2_pref enable

聚焦云计算,扫描二维码,关注HostUCan云计算

相关文章

Plesk Onyx 17.5 来了 全球最强面板新功能曝光
04/18
自去年Plesk Onyx 17 发行以来,就给广大用户们带来满满的惊喜。最近,Plesk又有大动作,最新版 Onyx 17.5来了,准备好了没? 跟我一起了解下Plesk在功能配备上有何突破和创新。 首先,值得一提的是扩展目录这一块的更新,具体有如下改进和提升: 1. 扩展目录界面风格有了新的设计,给您新的浏览感受。 2. 界面友好且直观,操作更方便快捷。 3. 可使用目录筛选可用扩展方便查找您需要的扩展。 4. 可检查新的和精选的扩展以了解时下最受Plesk 用户欢迎的扩展。 5. 如果未在目录里找到合适的扩展可申请创建扩展。 6. 给喜爱的扩展评分!
DNS记录可防止 未经授权的SSL证书
04/13
证书颁发机构授权(CAA)DNS记录在2013年成为标准,但是在世界上没有太多的影响力,因为证书颁发机构(CA)没有义务遵守这些规则。该记录允许域所有者,允许为该域发布SSL/TLS证书的CA。这样做的原因是为了限制未经授权的证书颁发,如果CA被泄密或有破坏者,这可能是意外的或故意的。
赛门铁克称CIA的黑客工具应对多起网络攻击负责
04/11
4月11日消息,据路透社报道,赛门铁克(Symantec)的安全研究人员周一表示,泄密网站“维基解密”最近曝光的绝密黑客工具,应对全球数十家机构过去遭到的网络攻击负责。这意味着这些攻击可能是由美国中央情报局(CIA)实施的。维基解密发布的文件,隐约展示了中情局内部对入侵手机、电脑和其它电子设备的各种工具的讨论,以及其中一些工具的编程代码。多位熟悉此事的人士告诉路透社,这些文件来自中情局或其承包商。
Plesk为什么受到国内站长的喜爱
03/15
Plesk在国际市场早已声名在外,且市场占有率远抛同类产品,堪称服务器控制面板界的领头羊。放眼国内市场,不难发现,近一两年,Plesk也是做得风生水起。据官方统计,仅2016年,Plesk在国内的销售量同比增长了80%,该增速不得不让人叹服。 那么Plesk为何在国内如此受欢迎,又是什么打动了我们广大站长们呢? 全能建站环境 站长们往往会对搭建建站环境而苦恼,而Plesk能够急站长之所急,可以为其提供全面的建站环境,让其轻松快捷地建站。这其实也是让他们启用、转用以及由衷喜欢使用Plesk的最主要原因。
进入plesk时代,告别低效站点管理
02/23
Plesk凭着其领先的技术和一流的服务广受国内外用户欢迎,目前已管理着1000多万个网站,是广大站长们最喜爱的管理平台之一,并且早已列入他们的推荐工具之列。Plesk在站点管理方面有完整的管理方案、专业的管理办法、最新的管理技术和最安全的管理工具,遥遥领先于其它同类站点管理工具。
cloud_hosting
评论

所有评论( 2 )

2017-03-19 21:51
西安婚庆公司礼仪策划维纳斯公司是从事专业个性婚礼的知名公司,从事西安婚庆,西安庆典公司,西安婚庆司仪等一站式服务,多年的成功经验,得到了新人及客户的好评,以独特的策划、完美的设计以及优质的服务形成了公司的品牌。用我们的专注打造您精致的婚礼。http://www.xawns.com/ 结婚是幸福的,婚礼是繁琐的,新人是轻松的,我们是专业的。给我一个电话,还您一个惊喜,维纳斯期待与您相识!
[回复]
[取消回复]
weibo qrcode
IDC点评网官网微信号
weibo qrcode
HostUCan云计算微信号
作者介绍
Demon
访问量: 80552
文章: 371

作者热门文章

bluehost
ssl

热门文章

服务推荐

云服务器专题
云服务器即云主机,是近年特别热门的主机产品,最新排名请看»
云存储专题
云存储稳定性高,成本低,扩展性好等特点,查找云存储优惠请看»
SSL证书专题
SSL数字证书,可以提高网站安全性,DV,OV,EV等产品报价请看»
美国主机专题
热门美国主机eHost速度快,价格便宜,更多最新热门美国主机请看»
inmotionhosting
host1plus
在线咨询 广告合作 回到顶部