Комментарии 13
Один минус — после этого надо самостоятельно следить и устранять уязвимости как в openssl, так и в nginx.
В идеале, конечно, хорошо бы сделать ppa (если такого еще нет).
В идеале, конечно, хорошо бы сделать ppa (если такого еще нет).
Мне кажется гораздо удобнее пересобирать пакет с нужными опциями через
sudo apt-get build-dep nginx
apt-get source nginx
cd nginx-*
DEB_CFLAGS_APPEND="--with-openssl=/home/db/openssl-1.0.2h" dpkg-buildpackage -us -uc
Оффтоп: а в случае с CentOS нас ждет то же самое? в 6.х сейчас OpenSSL 1.0.1е с бэкпортируемыми патчами для уязвимостей.
Похоже, что даже в CentOS 7 все еще 1.0.1
Для CentOS 6/7 можно собрать OpenSSL 1.0.2d RPM из FC23. Потребуется небольшой фикс — заменить в четырех патчах вызовы secure_getenv на __secure_getenv плюс потребуется пересобрать еще один дополнительный пакет из FC23 — crypto-policies.
Устанавливаем получившиеся crypto-policies, openssl, openssl-libs и openssl-devel. Пересобираем nginx из src.rpm, апдейтим и ALPN начинает работать.
Для CentOS 6/7 можно собрать OpenSSL 1.0.2d RPM из FC23. Потребуется небольшой фикс — заменить в четырех патчах вызовы secure_getenv на __secure_getenv плюс потребуется пересобрать еще один дополнительный пакет из FC23 — crypto-policies.
Устанавливаем получившиеся crypto-policies, openssl, openssl-libs и openssl-devel. Пересобираем nginx из src.rpm, апдейтим и ALPN начинает работать.
Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).
$ lsb_release -a
Description: Ubuntu 14.04.4 LTS
$ openssl version
OpenSSL 1.0.2h 3 May 2016
Странно, у меня уже 1.0.2, хотя nginx собран с 1.0.1f
Да, это у вас какой-то нестандартный openSSL стоит.
https://launchpad.net/ubuntu/+source/openssl
https://launchpad.net/ubuntu/+source/openssl
Не факт:
#lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 14.04.4 LTS
Release: 14.04
Codename: trusty
# openssl version
OpenSSL 1.0.2h 3 May 2016
#lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 14.04.4 LTS
Release: 14.04
Codename: trusty
# openssl version
OpenSSL 1.0.2h 3 May 2016
То что Chrome перестанет работать по HTTP/2 — это может быть даже и хорошо. Они собственный протокол нормально реализовать не могут, сплошные грабли: раз и два.
Пытались с ними много раз договориться, чтобы не выкидывали поддержку NPN, поскольку серверное ПО обновляется не так часто, но безуспешно, лишь отложили на несколько месяцев. Главное ведь, что google.com и gmail.com работать будут, остальное ― не важно.
Ну, всё-таки это новый протокол. При внедрении HTTP/1.1 тоже не всё было гладко наверное. Думаю, что нам (веб-разработчикам) нужно его использовать, баги выявлять, писать. Вот, например недавно был баг в FF, который мы с вами исследовали. Уже вышел workaround и фикс для FF 47.
А по поддержке NPN — они пользуются своей монополией на браузеры, которая де-факто установилась. Реально конкурирует с ними только Firefox, ну и Safari для маков. Интересно, можно ли на Google воздействовать через Яндекс и Opera, они же вроде тоже вносят свой код в Chromium?
А по поддержке NPN — они пользуются своей монополией на браузеры, которая де-факто установилась. Реально конкурирует с ними только Firefox, ну и Safari для маков. Интересно, можно ли на Google воздействовать через Яндекс и Opera, они же вроде тоже вносят свой код в Chromium?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Nginx + OpenSSL 1.0.2h = ALPN. Включаем поддержку ALPN на Ubuntu 14.04