Nginx + OpenSSL 1.0.2h = ALPN. Включаем поддержку ALPN на Ubuntu 14.04

  • Tutorial
Итак, вкратце опишу суть проблемы: если вы используете HTTP/2 на базе Nginx и Ubuntu 14.x-, то с 31 мая HTTP/2 в Chrome работать перестанет. Но решить проблему достаточно просто.

Для использования HTTP/2 протокола требуется поддержка способа переключения с обычного TLS на него. Поддержка эта реализуется со стороны браузера и сервера. Сейчас таких способов 2: NPN (Next Protocol Negotiation) и ALPN (Application-Layer Protocol Negotiation). Первый устарел и заменён вторым. Но для использования ALPN нужен OpenSSL довольно свежей версии (1.0.2+), более старые поддерживают только NPN.
Теперь вернёмся к нашей Ubuntu 14.x: версия OpenSSL сейчас такая:
# openssl version
OpenSSL 1.0.1f 6 Jan 2014

Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).
Но это версия в системе, нас же интересует только Nginx, вот что говорит свежий mainline пакет для Ubuntu:
# nginx -V
nginx version: nginx/1.9.15
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.1) 
built with OpenSSL 1.0.1f 6 Jan 2014
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --add-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed'



Невооружённым взглядом можно заметить ту же версию OpenSSL 1.0.1f. Значит, ALPN у нас работать не будет.
В это время, команда Google уже объявила дату окончательного выпиливания поддержки NPN из кода Chromium: 31 мая. Кстати, SPDY также перестанет работать.

Решение



Чтобы не потерять поддержку HTTP/2, стоит уже сейчас позаботиться о поддержке ALPN. Конечно, можно резко перейти на Ubuntu 16.04, но думаю, что это не всем подходит.
Рецепт решения довольно прямой и понятный: нужно собрать Nginx на базе свежего OpenSSL.
Переходим к делу:

0. Устанавливаем Nginx из официального репозитория. Это даёт нам установку скрипта запуска сервера и понадобится для дальнейшей работы. После установки репозиторий нужно закомментировать, чтобы последующие апдейты не снесли наш кастомный Nginx.

1. Качаем исходники Nginx и OpenSSL (версии указаны на момент написания статьи):

wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
wget http://nginx.org/download/nginx-1.10.0.tar.gz


2. Распаковываем архивы.

3. Устанавливаем пакеты для успешной сборки Nginx:

sudo apt-get -y install build-essential libpcre3 libpcre3-dev zlib1g-dev checkinstall
sudo apt-get build-dep nginx


4. Конфигурируем Nginx. Для этого копируем часть вывода команды nginx -V c добавлением папки с исходниками OpenSSL (--with-openssl=/home/db/openssl-1.0.2h). У меня получилось следующее (я убрал GeoIP модуль):
--prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed' --with-openssl=/home/db/openssl-1.0.2h


Если в процессе конфига возникают ошибки, скорее всего не найдены какие-либо зависимости. Обычно это лечится установкой пакетов вида: libXYZ-dev.

5. Собираем Nginx (в папке исходников):

make


6. Далее можно сделать просто make install, но мы соберём модуль. Это будет более удобно и аккуратно (можно обновлять, удалять и т.д.) Для этого:

sudo checkinstall --pkgname=nginx --pkgversion=1.10.0 --nodoc


В процессе сборки модуля нужно будет внести описание модуля, можно оставить что-то вроде Nginx + OpenSSL 1.0.2. После этого пакет должен установиться. Также его можно переносить между похожими системами и устанавливать уже как обычно:

dpkg -i nginx_1.10.0-1_amd64.deb


7. Проверить поддержку APLN можно здесь или в командной строке (на системе должна быть версия 1.0.2+)

echo | openssl s_client -alpn h2 -connect your-host:443 | grep ALPN


Вот и всё!
Поделиться публикацией

Похожие публикации

Комментарии 13
    +2
    Один минус — после этого надо самостоятельно следить и устранять уязвимости как в openssl, так и в nginx.
    В идеале, конечно, хорошо бы сделать ppa (если такого еще нет).
      0
      Да, есть такое. Идеально по-моему, если разработчики Nginx собрали бы его с OpenSSL 1.0.2.
        0

        Разработчики nginx тоже не хотят следить и устранять уязвимости в OpenSSL, причем сразу для всех ваших любимых дистрибутивов.

        0
        PPA есть https://launchpad.net/~0k53d-karl-f830m/+archive/ubuntu/nginx
          0
          Там только nginx 1.9.11, что не есть хорошо. Уже 1.11.2 есть…
        +8
        Мне кажется гораздо удобнее пересобирать пакет с нужными опциями через
        sudo apt-get build-dep nginx
        apt-get source nginx
        cd nginx-*
        DEB_CFLAGS_APPEND="--with-openssl=/home/db/openssl-1.0.2h" dpkg-buildpackage -us -uc
        

          0
          Оффтоп: а в случае с CentOS нас ждет то же самое? в 6.х сейчас OpenSSL 1.0.1е с бэкпортируемыми патчами для уязвимостей.
            +1
            Похоже, что даже в CentOS 7 все еще 1.0.1

            Для CentOS 6/7 можно собрать OpenSSL 1.0.2d RPM из FC23. Потребуется небольшой фикс — заменить в четырех патчах вызовы secure_getenv на __secure_getenv плюс потребуется пересобрать еще один дополнительный пакет из FC23 — crypto-policies.

            Устанавливаем получившиеся crypto-policies, openssl, openssl-libs и openssl-devel. Пересобираем nginx из src.rpm, апдейтим и ALPN начинает работать.
            +1
            Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).

            $ lsb_release -a
            Description: Ubuntu 14.04.4 LTS
            $ openssl version
            OpenSSL 1.0.2h 3 May 2016

            Странно, у меня уже 1.0.2, хотя nginx собран с 1.0.1f
            +1
            Не факт:
            #lsb_release -a
            No LSB modules are available.
            Distributor ID: Ubuntu
            Description: Ubuntu 14.04.4 LTS
            Release: 14.04
            Codename: trusty
            # openssl version
            OpenSSL 1.0.2h 3 May 2016

              +1

              То что Chrome перестанет работать по HTTP/2 — это может быть даже и хорошо. Они собственный протокол нормально реализовать не могут, сплошные грабли: раз и два.


              Пытались с ними много раз договориться, чтобы не выкидывали поддержку NPN, поскольку серверное ПО обновляется не так часто, но безуспешно, лишь отложили на несколько месяцев. Главное ведь, что google.com и gmail.com работать будут, остальное ― не важно.

                0
                Ну, всё-таки это новый протокол. При внедрении HTTP/1.1 тоже не всё было гладко наверное. Думаю, что нам (веб-разработчикам) нужно его использовать, баги выявлять, писать. Вот, например недавно был баг в FF, который мы с вами исследовали. Уже вышел workaround и фикс для FF 47.
                А по поддержке NPN — они пользуются своей монополией на браузеры, которая де-факто установилась. Реально конкурирует с ними только Firefox, ну и Safari для маков. Интересно, можно ли на Google воздействовать через Яндекс и Opera, они же вроде тоже вносят свой код в Chromium?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое