Pull to refresh

Nginx + OpenSSL 1.0.2h = ALPN. Включаем поддержку ALPN на Ubuntu 14.04

Reading time 4 min
Views 20K
Итак, вкратце опишу суть проблемы: если вы используете HTTP/2 на базе Nginx и Ubuntu 14.x-, то с 31 мая HTTP/2 в Chrome работать перестанет. Но решить проблему достаточно просто.

Для использования HTTP/2 протокола требуется поддержка способа переключения с обычного TLS на него. Поддержка эта реализуется со стороны браузера и сервера. Сейчас таких способов 2: NPN (Next Protocol Negotiation) и ALPN (Application-Layer Protocol Negotiation). Первый устарел и заменён вторым. Но для использования ALPN нужен OpenSSL довольно свежей версии (1.0.2+), более старые поддерживают только NPN.
Теперь вернёмся к нашей Ubuntu 14.x: версия OpenSSL сейчас такая:
# openssl version
OpenSSL 1.0.1f 6 Jan 2014

Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).
Но это версия в системе, нас же интересует только Nginx, вот что говорит свежий mainline пакет для Ubuntu:
# nginx -V
nginx version: nginx/1.9.15
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.1) 
built with OpenSSL 1.0.1f 6 Jan 2014
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --add-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed'



Невооружённым взглядом можно заметить ту же версию OpenSSL 1.0.1f. Значит, ALPN у нас работать не будет.
В это время, команда Google уже объявила дату окончательного выпиливания поддержки NPN из кода Chromium: 31 мая. Кстати, SPDY также перестанет работать.

Решение



Чтобы не потерять поддержку HTTP/2, стоит уже сейчас позаботиться о поддержке ALPN. Конечно, можно резко перейти на Ubuntu 16.04, но думаю, что это не всем подходит.
Рецепт решения довольно прямой и понятный: нужно собрать Nginx на базе свежего OpenSSL.
Переходим к делу:

0. Устанавливаем Nginx из официального репозитория. Это даёт нам установку скрипта запуска сервера и понадобится для дальнейшей работы. После установки репозиторий нужно закомментировать, чтобы последующие апдейты не снесли наш кастомный Nginx.

1. Качаем исходники Nginx и OpenSSL (версии указаны на момент написания статьи):

wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
wget http://nginx.org/download/nginx-1.10.0.tar.gz


2. Распаковываем архивы.

3. Устанавливаем пакеты для успешной сборки Nginx:

sudo apt-get -y install build-essential libpcre3 libpcre3-dev zlib1g-dev checkinstall
sudo apt-get build-dep nginx


4. Конфигурируем Nginx. Для этого копируем часть вывода команды nginx -V c добавлением папки с исходниками OpenSSL (--with-openssl=/home/db/openssl-1.0.2h). У меня получилось следующее (я убрал GeoIP модуль):
--prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed' --with-openssl=/home/db/openssl-1.0.2h


Если в процессе конфига возникают ошибки, скорее всего не найдены какие-либо зависимости. Обычно это лечится установкой пакетов вида: libXYZ-dev.

5. Собираем Nginx (в папке исходников):

make


6. Далее можно сделать просто make install, но мы соберём модуль. Это будет более удобно и аккуратно (можно обновлять, удалять и т.д.) Для этого:

sudo checkinstall --pkgname=nginx --pkgversion=1.10.0 --nodoc


В процессе сборки модуля нужно будет внести описание модуля, можно оставить что-то вроде Nginx + OpenSSL 1.0.2. После этого пакет должен установиться. Также его можно переносить между похожими системами и устанавливать уже как обычно:

dpkg -i nginx_1.10.0-1_amd64.deb


7. Проверить поддержку APLN можно здесь или в командной строке (на системе должна быть версия 1.0.2+)

echo | openssl s_client -alpn h2 -connect your-host:443 | grep ALPN


Вот и всё!
Tags:
Hubs:
+6
Comments 13
Comments Comments 13

Articles