Како до подршке за HTTP/2 и ALPN i A+ оцене на SSL тесту на VestaCP и ЦентОС 7 Линуксу

По дифолту, бар у VestaCP верзији актуелној на дан 05/04/2017 подршка за HTTP/2, ALPN није била по дифолту могућа и оцена на SSL Labs тесту је била B (бе). Кроз овај мини туторијал урадићемо неке мале измене у nginx конфиг фајловима како би имали подршку за HTTP/2 и појачали оцену на SSL тесту и инсталираћемо новији nginx из CodeIT репоа са којим добијамо и подршку за ALPN.

# Потребан софтвер
yum install gcc pcre-devel zlib-devel gcc-c++ make openssl-devel gc libxml2-devel libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel gperftools gperftools-devel libatomic_ops-devel perl-ExtUtils-Embed

##################### OpenSSL инсталација #######################
cd /usr/local/src
wget https://www.openssl.org/source/openssl-1.0.2-latest.tar.gz
tar -zxf openssl-1.0.2-latest.tar.gz

cd openssl-1.0.2l/
./config
make
make test
make install

rm -f /usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

# Провера верзије
openssl version

##################### Nginx инсталација #######################
cd /usr/local/src
wget http://nginx.org/download/nginx-1.13.4.tar.gz
tar -xvf nginx-1.13.4.tar.gz

cd nginx-1.13.4
nginx -V #Ископирати конфиг и додати на крају: --with-openssl=/usr/local/src/openssl-1.0.2l

# У мом случају то изгледа овако:
./configure  --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic' --with-openssl=/usr/local/src/openssl-1.0.2l

make
service nginx stop
make install
service nginx start

У фајлу /etc/nginx/nginx.conf онемогућити „Diffie-Hellman“ размену кључева која се сматра слабом. То ћете урадити простим додавањем :!DH у ssl_ciphers, дакле:

vim /etc/nginx/nginx.conf

Измена у фајлу би требала да изгледа овако

У постојећим сајтовима који већ користе HTTPS додати http2 у „listen“ део snginx.conf фајла и додати линију

add_header Strict-Transport-Security "max-age=31536000" always;

тако да фајл, у овом случају за сајт https://kompjuteras.com који се налази на:
vim /home/kompjuteras/conf/web/snginx.conf
…треба да изгледа овако:

Ове измене додати и у Vesta темплејту, у овом случају темплејт „Default“ који користим на ЦентОС 7, како би сви нови сајтови које будете правили са https-ом имали ове подразумевано, да не морате да се цимате

vim /usr/local/vesta/install/rhel/7/templates/web/nginx/default.stpl
…треба да изгледа овако:

Не заборавите да након свега рестартујете nginx командом:
service nginx restart

Проверите сад да ли имате оцену А+ и подршку за HTTP/2 и ALPN:
SSL test: https://www.ssllabs.com/ssltest
HTTP/2 test: https://tools.keycdn.com/http2-test