Po defaultu, bar u VestaCP verziji aktuelnoj na dan 05/04/2017 podrška za HTTP/2, ALPN nije bila po defaultu moguća i ocena na SSL Labs testu je bila B. Kroz ovaj mini tutorijal uradićemo neke male izmene u nginx config fajlovima kako bi imali podršku za HTTP/2 i pojačali ocenu na SSL testu i instaliraćemo noviji nginx iz CodeIT repoa sa kojim dobijamo i podršku za ALPN.

# Potreban softver
yum install gcc pcre-devel zlib-devel gcc-c++ make openssl-devel gc libxml2-devel libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools gperftools-devel libatomic_ops-devel perl-ExtUtils-Embed

##################### OpenSSL install #######################
cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.0.2-latest.tar.gz
tar -zxf openssl-1.0.2-latest.tar.gz

cd openssl-1.0.2l/
./config
make
make test
make install

rm -f /usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

# Provera verzije
openssl version

##################### Nginx install #######################
cd /usr/local/src
wget http://nginx.org/download/nginx-1.13.4.tar.gz
tar -xvf nginx-1.13.4.tar.gz

cd nginx-1.13.4
nginx -V #Iskopirati config i dodati na kraju: --with-openssl=/usr/local/src/openssl-1.0.2l

# U mom slučaju to izgleda ovako:
./configure  --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic' --with-openssl=/usr/local/src/openssl-1.0.2l

make
service nginx stop
make install
service nginx start

U fajlu /etc/nginx/nginx.conf disejblovati Diffie-Hellman razmenu ključeva koja se smatra slabom. To ćete uraditi prostim dodavanjem :!DH u ssl_ciphers, dakle:

vim /etc/nginx/nginx.conf

Izmena u fajlu bi trebala da izgleda ovako

U postojećim sajtovima koji već koriste https dodati http2 u listen deo snginx.conf fajla i dodati liniju

add_header Strict-Transport-Security "max-age=31536000" always;

tako da fajl, u ovom slučaju za sajt https://kompjuteras.com koji se nalazi na:
vim /home/kompjuteras/conf/web/snginx.conf
…treba da izgleda ovako:

Ove izmene dodati i u Vesta template, u ovom slučaju template „Default“ koji koristim na CentOS 7, kako bi svi novi sajtovi koje budete pravili sa https-om imali ove izmene po defaultu, da ne morate da se cimate

vim /usr/local/vesta/install/rhel/7/templates/web/nginx/default.stpl
…treba da izgleda ovako:

Ne zaboravite da nakon svega restartujete nginx komandom:
service nginx restart

Proverite sad da li imate ocenu A+ i podršku za HTTP/2 i ALPN:
SSL test: https://www.ssllabs.com/ssltest
HTTP/2 test: https://tools.keycdn.com/http2-test