Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 支持ECH
本帖最后由 mimiphp 于 2026-4-25 03:37 编辑Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 + ssl_ech_file + DNS HTTPS(ECH) 记录,支持安全的sni.全链路检测:https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/
如果我通过了所有四项测试,是否意味着无论我浏览哪个网站,我都是安全的?
不一定。即使您通过了所有四项测试,您正在访问的域也需要支持这些技术。如果您访问的域不支持 DNSSEC、TLS 1.3 和安全 SNI,即使您的浏览器支持这些技术,您仍然有可能受到攻击。 6,我去试试 openssl 4.0 不是 lts 吧? iks 发表于 2026-4-25 11:45
openssl 4.0 不是 lts 吧?
是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的 mimiphp 发表于 2026-4-25 21:05
是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的
我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本,下一个 LTS 版本要等到 2027 年 4 月。OpenSSL 对 LTS 版本支持 5 年而对非 LTS 版本支持 1 年。 iks 发表于 2026-4-25 21:19
我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本,下一个 LTS 版本 ...
https://github.com/openssl/openssl/releases/tag/openssl-4.0.0 这里啊。。。已经发布了 另外 nginx 的官方编译二进制可以在运行时指定搜索 OpenSSL 动态库位置的环境变量,而无需静态化 nginx 版本;另外基于 OpenSSL 为重要密码学库的性质,不建议静态化这种密码学库,应当使用发行版提供的版本以获得较为迅速的修补。 mimiphp 发表于 2026-4-25 21:25
https://github.com/openssl/openssl/releases/tag/openssl-4.0.0 这里啊。。。已经发布了
OpenSSL 4.0 不是 LTS 版本,只支持到 14 May 2027
OpenSSL 3.5 LTS 支持到 08 Apr 2030
https://openssl-library.org/roadmap/ iks 发表于 2026-4-25 21:28
OpenSSL 4.0 不是 LTS 版本,只支持到 14 May 2027
OpenSSL 3.5 LTS 支持到 08 Apr 2030
搞半天我关心的是功能,你关心的是版本号长期支持。。。这是nginx官方博客https://blog.nginx.org/blog/nginx-open-source-1-29-3-and-1-29-4
虽然你说的openssl4.0非长期支持版本,但可以预见的是,肯定不会把刚刚发布的功能给抹杀掉啊。。长期支持版本也肯定集成下去啊。。。可以预见openssl4.5长期支持版,也肯定支持Encrypted Client Hello (ECH) Support
页:
[1]