程式設計 /z/programming
4
改善 HTTPS 访问安全性 (io.upyun.com)
12 則討論 koji 張貼於

IngramChen 積分 2 編輯於

他們選的 cipher suites 還蠻特別的 EECDH+CHACHA20...,選 chacha (這好像是歐洲的標準?)。一般看到的是比較推 AES+GCM。

還有,nginx 1.7.10 配上 spdy 後,OSX safari 就連不上了 (舊版一點的 nginx 就沒事,查不到為什麼)。為了 safari 我現在都把 spdy 給關了 :(

回應

qrtt1 積分 0

唔,有這回事!! 看來我也得注意一下 safari 有沒有抓不到的問題了。

回應

IngramChen 積分 0

你那邊可以嗎? 我試了很多排列組合找不出原因...

回應

qrtt1 積分 0

還沒開過 spdy,不過最近要昇級 nginx 可以順便試一下。不過,我們主要是做 video cache server 很多東西都沒有打開就是了(像是 https 也沒開,因為太多 player 不吃 https >"<)

回應

IngramChen 積分 0

不是網站的話 spdy 就比較沒用囉,也不用開

另外 https 很吃資源的啊

回應

qrtt1 積分 0

嗯,我知啊。所以才說順手試試。像我們這純吐 binary data 的,其實唯一會加的只有資源控管的程式在裡面了。

回應

IngramChen 積分 0

其實我一直以為你們的服務是 https 或是什麼加密的...

那種隱私不是很重要嗎

回應

qrtt1 積分 1 編輯於

目前的架構可以想成是 microservice。API 跟 url authorization 還有吐影片檔案完全分開的,吐檔的部分就純 http 了,這是配合老舊的 player 不吃 https。

弄成這樣主要是於每一個新的 play url 都要經過授權的階段,拆成這樣是為了在更新 API Server 而中斷了使用者觀看. 至於 url 看不看得出是誰,其實都是亂數的 token,沒去查 log 還真不知道 url 是誰的 orz..

(以前還沒拆開時,有人去客戶那 demo,剛好遇到我們修了一點東西,更新程式,影片就不能看了。。超糗的)

回應

Thinker 積分 0

據說 chrome 要拿掉 spdy 了

回應

koji 積分 0

2016 early,剛好年底 nginx 應該也支援 http/2 了。

回應

koji 積分 1
看到他寫

以上配置在 NGINX 1.7.10 和 OpenSSL 1.0.2 上经过测试,同时也建议大家及时升级到相应的最新版本。

他官方網頁看起來也能用 safari。

回應

IngramChen 積分 0

晚點來試試它們的 cipher suites

回應