论坛 › VPS综合讨论 › Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 支持ECH

mimiphp 发表于 昨天 03:30

Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 支持ECH

<i class="pstatus"> 本帖最后由 mimiphp 于 2026-4-25 03:37 编辑 </i><br />
<br />
Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 + ssl_ech_file + DNS HTTPS(ECH) 记录，支持安全的sni.全链路检测：https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/<br />
<br />
<br />
如果我通过了所有四项测试，是否意味着无论我浏览哪个网站，我都是安全的？<br />
不一定。即使您通过了所有四项测试，您正在访问的域也需要支持这些技术。如果您访问的域不支持 DNSSEC、TLS 1.3 和安全 SNI，即使您的浏览器支持这些技术，您仍然有可能受到攻击。

=== 发表于 昨天 07:58

6，我去试试

iks 发表于 昨天 11:45

openssl 4.0 不是 lts 吧？

mimiphp 发表于 昨天 21:05

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16705271&ptid=1475533" target="_blank"><font color="#999999">iks 发表于 2026-4-25 11:45</font></a></font><br />
openssl 4.0 不是 lts 吧？</blockquote></div><br />
是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的

iks 发表于 昨天 11:45

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16705563&ptid=1475533" target="_blank"><font color="#999999">mimiphp 发表于 2026-4-25 21:05</font></a></font><br />
是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的</blockquote></div><br />
我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本，下一个 LTS 版本要等到 2027 年 4 月。OpenSSL 对 LTS 版本支持 5 年而对非 LTS 版本支持 1 年。

mimiphp 发表于 昨天 21:19

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16705574&ptid=1475533" target="_blank"><font color="#999999">iks 发表于 2026-4-25 21:19</font></a></font><br />
我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本，下一个 LTS 版本 ...</blockquote></div><br />
https://github.com/openssl/openssl/releases/tag/openssl-4.0.0&nbsp; &nbsp;这里啊。。。已经发布了

iks 发表于 昨天 21:05

另外 nginx 的官方编译二进制可以在运行时指定搜索 OpenSSL 动态库位置的环境变量，而无需静态化 nginx 版本；另外基于 OpenSSL 为重要密码学库的性质，不建议静态化这种密码学库，应当使用发行版提供的版本以获得较为迅速的修补。

iks 发表于 昨天 21:25

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16705581&ptid=1475533" target="_blank"><font color="#999999">mimiphp 发表于 2026-4-25 21:25</font></a></font><br />
https://github.com/openssl/openssl/releases/tag/openssl-4.0.0&nbsp; &nbsp;这里啊。。。已经发布了</blockquote></div><br />
OpenSSL 4.0 不是 LTS 版本，只支持到 14 May 2027<br />
OpenSSL 3.5 LTS 支持到 08 Apr 2030<br />
<br />
https://openssl-library.org/roadmap/

mimiphp 发表于 昨天 21:19

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16705586&ptid=1475533" target="_blank"><font color="#999999">iks 发表于 2026-4-25 21:28</font></a></font><br />
OpenSSL 4.0 不是 LTS 版本，只支持到 14 May 2027<br />
OpenSSL 3.5 LTS 支持到 08 Apr 2030</blockquote></div><br />
搞半天我关心的是功能，你关心的是版本号长期支持。。。这是nginx官方博客https://blog.nginx.org/blog/nginx-open-source-1-29-3-and-1-29-4<br />
<br />
虽然你说的openssl4.0非长期支持版本，但可以预见的是，肯定不会把刚刚发布的功能给抹杀掉啊。。长期支持版本也肯定集成下去啊。。。可以预见openssl4.5长期支持版，也肯定支持Encrypted Client Hello (ECH) Support

查看完整版本: Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 支持ECH