错觉吧，chrome 不验证 crl 和 ocsp，所以网页速度和证书基本没任何影响

主要是现阶段的 wifi6 AP 都很贵

@opengps 如果只是单独一台路由器的话，可以提升内网的效率，因为看到一些 mesh 的路由和一些 AP 也是打着 wifi6 的名号，但是网口都只是 1000 兆的，所以有点疑问。

dns 劫持和 https 有什么关系

@GDC 我觉得 CDN 厂商是没胆子做这种事的，一般 CDN 投毒大多发生在 CDN 和 源站之间用 HTTP 传输数据。

Apple 的域名并不在 HSTS Preloading 的列表中，所以理论上用户访问 http 时运营商是有机会进行劫持的，因为存在 http 301 明文的阶段。

@watara TLS1.3 协议要 Openssl1.1.1 以后才支持，你压根不支持 1.3，估计 nginx 直接调默认配置了，按道理你启动肯定有警告信息的。

SSH 端口外网访问不到，我们周三上班，不着急的话周三可以发给你。但是我还是觉得是你 ssl_ciphers 配置有问题。

https://202.96.220.171/
https://wiki.shca-inc.com/

和你需求类似的示例，同一台主机，IP 配置了张自签的证书，域名使用 LE 的证书，理论上肯定是没问题的。
也是 nginx

可以做以下尝试
1. ssl_prefer_server_ciphers on; 设置为 off
2. ssl_protocols TLSv1.3; 调整为 TLSv1.2 TLSv1.3
3. ssl_ciphers 做下调整 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

简单分析一下，楼主可以使用 openssl ciphers -V 命令查看服务端支持所有的 CipherSuite, TLS13-XXX 这种写法我印象中已经从 openssl 已经移除了，所以你配置中的所有 1.3 的 CipherSuite 全是无效的，另外你启用了 ssl_prefer_server_ciphers，所以你配置里第一个可用的 CipherSuite 就是 RSA+AES128，被降级到 TLS1.0 很正常。
另外我还怀疑楼主的 Openssl 版本压根不支持 TLS1.3 ..........

SSL 的配置可以使用 Mozilla 提供的 SSL Configuration Generator [https://ssl-config.mozilla.org/] 工具生成配置文件，比较推荐。

要不是没钱，我早买了！

http://www.sh.10086.cn/service/static/doBusiness/ZYXTC.html
多打个“#”号

http://www.sh.10086.cn/service/static/doBusiness/ZYXTC.html#
直接在线办理不就行了？

拼多多买了付费通的支付牌照，所以有牌照。。。

还真显示不了了，google 太恶心了

生态上还是欠缺了些

Imazing 有意