ios10对https的要求有点严格,比如必须要TLS1.2以及以上的版本才可以。nscurl --ats-diagnostics --verbose https://shopbi.hualala.com 此时必须都通过才可以。
所以需要调整nginx对https的配置项:
- ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; (tls版本信息,注意如果一个域下边有多个二级域名支持https,则所有的二级域名的https的配置都需要提升到tls1.2)
- ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM; (ios对于https的加密算法有要求,必须要复杂算法才可以),算法复杂带来的影响就是服务器cpu压力飙升~。
连接必须使用 AES-128 或 AES-256 对称加密算法。 TLS 算法套装必须以 ECDSA 密钥交换的形式支持正向保密,加密算法必须为下面之一:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
网友评论