cloudflare家的免费ssl为什么xp+ie\chrome不能访问

雨宫音羽

抓了个包看，感觉明了了。

XP IE6默认设置下，IE直接用的SSLv3尝试发起链接，然后被CF服务器一口回绝。之后IE6 fallback到SSLv2，更加不用想了。但是可以修改IE6的设置，勾选TLSv1，就能打开（会报警证书不匹配）

XP IE8默认设置下，IE用的TLSv1发起链接，没有SNI头，CF服务器返回的是默认RSA证书，IE8报警证书不匹配，但是无视错误后可以打开。

我这里XP没有chrome，这货太占内存，但是我觉得根据楼主的说明，我已经知道为何chrome打不开了。

chrome用了什么黑科技，让chrome在XP下也可以发送SNI头，CF服务器一看好啊，是个modern browser，返回了一个ECDSA的证书，然后chrome调用XP系统的证书系统对证书进行解析，结果XP系统无法解析ECDSA证书（甚至连公钥都解析不出来），握手失败。

因此症结明了了：CF服务器在浏览器没发送SNI头时返回的证书是RSA证书（老系统可以认出来），在浏览器发送了SNI头时返回的是ECDSA证书，这个XP认不出。

雨宫音羽

chrome自己实现了一个SSL的库，但是并不完全，对证书的解析还是交给系统来做的，不像FF完全用的自己的证书系统和证书验证库，导致了这一问题

雨宫音羽

调整就是CF不仅决定要作死用SNI，还要作个大死给SNI的证书推广ECDSA。但是又怕老系统完全打不开，于是非SNI返回的证书还是RSA的

还有点评不是回复 请勿瞎点评

雨宫音羽

https://blog.cloudflare.com/ecdsa-the-digital-signature-algorithm-of-a-better-internet/

最搞笑的就是这个了，博客里说“他们吃了自己的狗 粮”（也就是自己的博客率先启用了ECDSA证书），结果不仅是我发现他们还用的是RSA证书，回复里也一帮人说“你怎么又用回RSA了？？”