RSA 和 ECC 证书:
内置 ECDSA 公钥的证书一般被称之为 ECC 证书,而内置 RSA 公钥的证书就是 RSA 证书。 由于 256 位 ECC Key 在安全性上等同于 3072 位 RSA Key,再加上 ECC 运算速度更快,ECDHE 密钥交换 + ECDSA 数字签名无疑是最好的选择。 且同等安全条件下,ECC 算法所需的 Key 更短,所以 ECC 证书文件体积比 RSA 证书要小一些。
兼容性
综合上面的特性,使用 ECC 证书是很好的选择,当然,并不是所有浏览器都支持 ECDHE 密钥交换,也就是说 ECC 证书的兼容性要差一些。例如在 Windows XP 中,使用 ECC 证书的网站只有 Firefox 能访问(Firefox 的 TLS 自己实现,不依赖操作系统)、Android 平台中,也需要 Android 4+ 才支持 ECC 证书。
配置单 ECC 证书
实际上这兼容性对我来讲影响并不大,下面上配置方法吧。
获取 ECC SSL 证书并将你的站点启用 https 后,在站点配置文件 SSL 部分后加入以下内容:
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES";
然后重启 Nginx,然后可以打开浏览器验证一下。