OpenSSL 已经更新到了1.1.0b,但是我的博客上仍然没有使用这个版本,目前我还在使用1.0.2j 。

当前的OpenSSL1.1.0已经原生支持CHACHA20方式,理论上是不用打Cloudflare提供的patch,但是我发现它并不支持 ssl_prefer_server_ciphers 等价加密算法组,所以无法在不同的设备使用最佳的加密方式(详见CHACHA20三两事 )。

同时我发现 NGINX 的 Certificate Transparency 模块不知道为什么在这个版本的 OpenSSL下面失效了,在我退回1.0.2时是正常的。

顺便OpenSSL 1.1.0 删除了 SSL_R_NO_CIPHERS_PASSED,所以Nginx 1.11.3 编译不了,升级到 1.11.4 可以解决,我试过没有问题。

OpenSSL 1.0.2j 修复了几个高危漏洞,但是Cloudflare的Patch没有更新无法正常打上,可以使用这个修改过的版本 https://github.com/travislee8964/sslconfig