隨著蘋果、微信、微博等都開始要求使用https安全協(xié)議，越來越多的站長開始為自己的站點添加證書。Plesk用戶通常能很輕松地安裝SSL證書，因為Plesk上提供了免費數(shù)字證書的插件Let’s Encrypt，以及部分Plesk上可能預(yù)裝了亞洲誠信發(fā)的免費數(shù)字證書插件TrustAsiasslTool。但是有用戶反饋，使用Let’s Encrypt安裝數(shù)字證書后，在chrome，IE等瀏覽器上用https訪問正常，但部分版本的火狐，chrome，360瀏覽器上顯示錯誤，如下圖

從火狐的錯誤提示來看是因為安全等級太低了，火狐主動終止了連接。這里的安全等級主要是指https使用的密鑰套件(Cipher Suite)是什么版本，如果產(chǎn)生這個Cipher Suite是火狐不認(rèn)可的話，連接就會被火狐中斷。

通過SSLLabs這個網(wǎng)站可以方便地檢測目標(biāo)網(wǎng)站支持的Cipher Suite。部分截圖如下：

以及這個網(wǎng)站所做的握手模擬(Handshake Simulation):

?

在火狐47版本上報錯，提示使用了黑名單中的算法——TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA，發(fā)現(xiàn)它果然在一份公開的黑名單列表中。TLS 1.2 Cipher Suite Black List：

(列表太長，只羅列部分)?

? TLS_ECDH_RSA_WITH_RC4_128_SHA?

? TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA?

? TLS_ECDH_RSA_WITH_AES_128_CBC_SHA?

? TLS_ECDH_RSA_WITH_AES_256_CBC_SHA?

? TLS_ECDHE_RSA_WITH_NULL_SHA?

? TLS_ECDHE_RSA_WITH_RC4_128_SHA?

? TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA?

? TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA?

? TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA?

? TLS_ECDH_anon_WITH_NULL_SHA?

? TLS_ECDH_anon_WITH_RC4_128_SHA?

? TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA?

? TLS_ECDH_anon_WITH_AES_128_CBC_SHA?

? TLS_ECDH_anon_WITH_AES_256_CBC_SHA?

? TLS_SRP_SHA_WITH_3DES_EDE_CBC_SHA

解決的方法可以從瀏覽器端和服務(wù)器端兩方面考慮，前者可以關(guān)閉瀏覽器對http2的支持?

從中我們也知道了Plesk Onyx是默認(rèn)支持http2的，而火狐也優(yōu)先選擇建立http2的連接

后者可以修改瀏覽器認(rèn)可的cipher list(火狐可以使用插件Toggle Cipher Suites)

?

下面講更好的修改服務(wù)器端的方法。簡單說只需要執(zhí)行下面的命令讓測試中的火狐，360瀏覽器等都訪問正常

RedHat/CentOS系統(tǒng)?

/usr/local/psa/bin/http2_pref enable?

Debian/Ubuntu系統(tǒng)?

/opt/psa/bin/http2_pref enable

注意事項：

要求安裝了Plesk12.5.30#28及以上版本；

確保你的Nginx正常運行，且版本不低于1.9.14

通過SSLLabs可以看到，這個命令執(zhí)行前，Cipher Suite順序：

執(zhí)行后，Cipher Suite順序：

比較兩張圖可以知道 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 的排位更加靠后了，所以和瀏覽器的連接中更容易選中位于它前面的更安全的Cipher Suite，這時瀏覽器就不提示錯誤了。?

這一點也可以從support.plesk.com的一個回答中得到驗證：

Q：After enabling of HTTP/2 some browsers are not able to connect to my web site. Why??

A: HTTP/2 protocol specification defines that TLS 1.2 must be used for any implementation.Also it recommends to use strong ciphers list for encrypted connections. Check RFC #7540 for detailshttps://tools.ietf.org/html/rfc7540. Based on our security team research and opinion of Plesk experts community we choose a very balanced ciphers list that provides support for all modern browsers and “A” category in terms of security on SSLLabs: https://www.ssllabs.com/ssltest/index.html at the same time.If you have enought technical expertize on this you can simply customize ciphers list to allow support for old browsers.

翻譯：?

問：在啟用HTTP/2之后部分瀏覽器不能鏈接到我的網(wǎng)站，為什么呢？?

答: HTTP/2協(xié)議規(guī)范定義了它是建立在 TLS 1.2 協(xié)議之上的。它同時建議使用使用強度高的cipher列表用戶加密傳輸。請查看RFC #7540獲取詳情。在我們安全研究團隊和Plesk社區(qū)專家的建議下我們選擇了一個比較平衡的cipher列表，并在SSLLabs上面對所有現(xiàn)代瀏覽器進行測試全部取得了A的評級。如果你在這方面有充分的技術(shù)經(jīng)驗，你可以自定義這份cipher列表去支持陳舊的瀏覽器。

總結(jié)：

如果用證書加密網(wǎng)站后在大部分瀏覽器中可以正常訪問，只在部分瀏覽器中不能訪問，并且有NS_ERROR_NET_INSDEQUATE_SECURITY（加密安全等級不夠）之類的提示，可以先嘗試下面的命令來解決問題

RedHat/CentOS系統(tǒng)?

/usr/local/psa/bin/http2_pref enable?

Debian/Ubuntu系統(tǒng)?

/opt/psa/bin/http2_pref enable