来自带有 SSL 的 Chrome 的“连接未压缩”

Question

我在 Ubuntu 10.04LTS 上运行带有 SSL 的 nginx。当我检查证书时，Chrome 给了我这个烦人的警告：

The connection is not compressed.

在响应中，它看起来像是以 gzip 格式发送的：

Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:keep-alive
Content-Encoding:gzip
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Feb 2012 09:00:38 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Pragma:no-cache
Server:nginx/1.0.5
Transfer-Encoding:chunked
Vary:Accept-Encoding
X-Powered-By:PHP/5.3.6-13ubuntu3.3`

Answer 1

由于提出了这个问题，因此发现了一个严重的安全漏洞（BEAST 攻击），如果 SSL/TLS 会话被压缩，就有可能破坏 SSL/TLS 会话。为了缓解这种情况，服务器和浏览器都开始禁用压缩；您将需要改用 HTTP 压缩，如果有的话，只能谨慎使用，以缓解另一个漏洞（CRIME 攻击）。