在Nginx启用Chacha20和ALPN

  • 内容
  • 评论
  • 相关

Note: 从OpenSSL 1.1.0开始,chacha20与ALPN默认被支持,因此不再需要按照本文另行操作,除非你使用的版本低于Ubuntu 18.04 或其他发行版对应的在18年左右之前发布的版本。

博客启用HTTPS也应该有一年多了,最近闲的无聊的时候F12发现自己网站的HTTP2没了(博客服务器一直是用的Nginx的mainline版本),寻思咋回事儿的时候发现谷歌从Chrome 51开始强行要求ALPN(Application Layer Protocol Negotiation,应用层协议协商)才能开HTTP2。然而搜遍谷歌给出的结果是OpenSSL 1.0.2才支持ALPN,这就搞得Server端用Ubuntu 14.04的我比较尴尬了(1.0.1版)。

当时我心里第一反应是WQNMLGB的OpenSSL......CHACHA20在实验版本才有就算了,ALPN支持也这么坑。。。。。(只是吐槽,不带恶意,毕竟这东西在开源世界还是帮了不少忙的。)

然后思来想去,反正14.04上的OpenSSL已经这个鬼样子了,我还是自己动手编译支持吧,顺便把Chacha20丢进去。

那么问题来了:ALPN和CHACHA20好处都有啥?说对了就给他

首先,上面提到了,ALPN对后面版本的Chrome来说是开启HTTP2协议的必要条件。HTTP2对比Http 1.1做出了比较多的改动,比如Server Push,服务端根据客户端的请求推测他后面会请求的资源,然后一并推送给客户端,这样一来可以减少客户端请求次数。其次,头部压缩减少了传输体积,优化传输效率。

其次,对于CHACHA20加密,CHACHA20是一种流加密方式,并且旨在提供256位高强度的加密,对移动设备的兼容性更好(毕竟PC上有AES-NI指令集可以处理AES加密,然而手机上面并没有)。之前有一篇测试曾对比过三星移动设备使用AES和CHACHA20加密的速度的对比,在同样大小的密文解密情况下,CHACHA20的效率是AES的4倍左右。

所以说了这么多,开工开工。

(对于使用Ubuntu/Debian的同学,如果不想看下文的话,可以参考这份脚本---》链接

由于OpenSSL目前生产环境还不支持CHACHA20,因此使用LibreSSL替代。

先下载LibreSSL,这里使用2.4.1版本,然后make:

wget http://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.4.1.tar.gz -O libressl.tar.gz
tar zxf libressl.tar.gz
cd libressl*

./configure --prefix=/usr LDFLAGS=-lrt
make

mkdir -p .openssl/lib
cp crypto/.libs/libcrypto.a ssl/.libs/libssl.a .openssl/lib
cd .openssl && ln -s ../include ./
cd lib && strip -g libssl.a && strip -g libcrypto.a
cd ../../../

至于为啥不install,毕竟你系统里面还有其他需求OpenSSL的,万一install完出问题那就不好说了。

然后下载Nginx,这里我使用1.10.1的源代码。configure的配置来自于Nginx官方源的配置,但是去掉了GeoIP和Perl支持。

在配置之前,为了保证configure的完整性,避免报错,你可能需要安装下面几个东西:

apt-get update
apt-get install libxslt1-dev libxml2-dev zlib1g-dev libpcre3-dev libgd-dev -y --force-yes

然后configure

tar zxf nginx.tar.gz 

cd nginx*

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed' --with-openssl=《LibreSSL的绝对路径,比如/opt/nginx/libressl-2.4.1》 --with-ld-opt="-lrt"

touch下Header File,避免被Nginx 重新编译,然后make

touch /opt/nginx/libressl-2.4.1/.openssl/include/openssl/ssl.h
make

接下来,是make install 还是继续其他的操作,取决在你自己了。对于之前已经安装过的同学,执行make install的话会替换掉之前你安装的版本。因此这步请注意下选择。

我这里是make install替换原版本。

然后,如果你是全新安装,你需要把这份文件丢到/etc/init.d里面,然后执行下面的语句,以确保Nginx开机自动运行

sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx

wget https://raw.githubusercontent.com/sunflyer/EasyUbuntu/master/nginx.init -O /etc/init.d/nginx

sudo chmod +x /etc/init.d/nginx #安装启动脚本

sudo update-rc.d -f nginx defaults #设置开机自启动

最后运行 nginx -V看看?

nginx version: nginx/1.10.1
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.3)
built with LibreSSL 2.4.1
TLS SNI support enabled

修改你的ssl_cipher配置为下述:(这个是CloudFlare的SSL配置)

EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5:!MEDIUM:!LOW

然后测试下连接。

chacha chacha2

至此大功告成。

评论

1条评论