Како до подршке за HTTP/2 и ALPN i A+ оцене на SSL тесту на VestaCP и ЦентОС 7 Линуксу
По дифолту, бар у VestaCP верзији актуелној на дан 05/04/2017 подршка за HTTP/2, ALPN није била по дифолту могућа и оцена на SSL Labs тесту је била B (бе). Кроз овај мини туторијал урадићемо неке мале измене у nginx конфиг фајловима како би имали подршку за HTTP/2 и појачали оцену на SSL тесту и инсталираћемо новији nginx из CodeIT репоа са којим добијамо и подршку за ALPN.
# Потребан софтвер yum install gcc pcre-devel zlib-devel gcc-c++ make openssl-devel gc libxml2-devel libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools gperftools-devel libatomic_ops-devel perl-ExtUtils-Embed ##################### OpenSSL инсталација ####################### cd /usr/local/src wget https://www.openssl.org/source/openssl-1.0.2-latest.tar.gz tar -zxf openssl-1.0.2-latest.tar.gz cd openssl-1.0.2l/ ./config make make test make install rm -f /usr/bin/openssl ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl # Провера верзије openssl version ##################### Nginx инсталација ####################### cd /usr/local/src wget http://nginx.org/download/nginx-1.13.4.tar.gz tar -xvf nginx-1.13.4.tar.gz cd nginx-1.13.4 nginx -V #Ископирати конфиг и додати на крају: --with-openssl=/usr/local/src/openssl-1.0.2l # У мом случају то изгледа овако: ./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic' --with-openssl=/usr/local/src/openssl-1.0.2l make service nginx stop make install service nginx start
У фајлу /etc/nginx/nginx.conf онемогућити „Diffie-Hellman“ размену кључева која се сматра слабом. То ћете урадити простим додавањем :!DH у ssl_ciphers, дакле:
vim /etc/nginx/nginx.conf
У постојећим сајтовима који већ користе HTTPS додати http2 у „listen“ део snginx.conf фајла и додати линију
add_header Strict-Transport-Security "max-age=31536000" always;
тако да фајл, у овом случају за сајт https://kompjuteras.com који се налази на:
vim /home/kompjuteras/conf/web/snginx.conf
…треба да изгледа овако:
Ове измене додати и у Vesta темплејту, у овом случају темплејт „Default“ који користим на ЦентОС 7, како би сви нови сајтови које будете правили са https-ом имали ове подразумевано, да не морате да се цимате
vim /usr/local/vesta/install/rhel/7/templates/web/nginx/default.stpl
…треба да изгледа овако:
Не заборавите да након свега рестартујете nginx командом:
service nginx restart
Проверите сад да ли имате оцену А+ и подршку за HTTP/2 и ALPN:
SSL test: https://www.ssllabs.com/ssltest
HTTP/2 test: https://tools.keycdn.com/http2-test