Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 支持ECH

mimiphp

Nginx 1.30.0 + OpenSSL 4.0.0 源码编译 + ssl_ech_file + DNS HTTPS(ECH) 记录，支持安全的sni.全链路检测：https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/


如果我通过了所有四项测试，是否意味着无论我浏览哪个网站，我都是安全的？
不一定。即使您通过了所有四项测试，您正在访问的域也需要支持这些技术。如果您访问的域不支持 DNSSEC、TLS 1.3 和安全 SNI，即使您的浏览器支持这些技术，您仍然有可能受到攻击。

===

6，我去试试

iks

openssl 4.0 不是 lts 吧？

mimiphp

iks 发表于 2026-4-25 11:45
openssl 4.0 不是 lts 吧？

是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的

iks

mimiphp 发表于 2026-4-25 21:05
是用它生成ssl_ech_file用的。tls3的证书是权威证书机构发布给你的

我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本，下一个 LTS 版本要等到 2027 年 4 月。OpenSSL 对 LTS 版本支持 5 年而对非 LTS 版本支持 1 年。

mimiphp

iks 发表于 2026-4-25 21:19
我说的 lts 是 Long Term Support 长期支持。OpenSSL 现在只有 3.0 和 3.5 是 LTS 版本，下一个 LTS 版本 ...

https://github.com/openssl/openssl/releases/tag/openssl-4.0.0   这里啊。。。已经发布了

iks

另外 nginx 的官方编译二进制可以在运行时指定搜索 OpenSSL 动态库位置的环境变量，而无需静态化 nginx 版本；另外基于 OpenSSL 为重要密码学库的性质，不建议静态化这种密码学库，应当使用发行版提供的版本以获得较为迅速的修补。

iks

mimiphp 发表于 2026-4-25 21:25
https://github.com/openssl/openssl/releases/tag/openssl-4.0.0   这里啊。。。已经发布了

OpenSSL 4.0 不是 LTS 版本，只支持到 14 May 2027
OpenSSL 3.5 LTS 支持到 08 Apr 2030

https://openssl-library.org/roadmap/

mimiphp

iks 发表于 2026-4-25 21:28
OpenSSL 4.0 不是 LTS 版本，只支持到 14 May 2027
OpenSSL 3.5 LTS 支持到 08 Apr 2030

搞半天我关心的是功能，你关心的是版本号长期支持。。。这是nginx官方博客https://blog.nginx.org/blog/nginx-open-source-1-29-3-and-1-29-4

虽然你说的openssl4.0非长期支持版本，但可以预见的是，肯定不会把刚刚发布的功能给抹杀掉啊。。长期支持版本也肯定集成下去啊。。。可以预见openssl4.5长期支持版，也肯定支持Encrypted Client Hello (ECH) Support