23.05.2016 10:21
Nickmob 11 3500 Источник
Итак, вкратце опишу суть проблемы: если вы используете HTTP/2 на базе Nginx и Ubuntu 14.x-, то с 31 мая HTTP/2 в Chrome работать перестанет. Но решить проблему достаточно просто.

Для использования HTTP/2 протокола требуется поддержка способа переключения с обычного TLS на него. Поддержка эта реализуется со стороны браузера и сервера. Сейчас таких способов 2: NPN (Next Protocol Negotiation) и APLN (Application-Layer Protocol Negotiation). Первый устарел и заменён вторым. Но для использования APLN нужен OpenSSL довольно свежей версии (1.0.2+), более старые поддерживают только NPN.
Теперь вернёмся к нашей Ubuntu 14.x: версия OpenSSL сейчас такая:
# openssl version
OpenSSL 1.0.1f 6 Jan 2014

Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).
Но это версия в системе, нас же интересует только Nginx, вот что говорит свежий mainline пакет для Ubuntu:
# nginx -V
nginx version: nginx/1.9.15
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04.1) 
built with OpenSSL 1.0.1f 6 Jan 2014
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --add-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed'


Невооружённым взглядом можно заметить ту же версию OpenSSL 1.0.1f. Значит, APLN у нас работать не будет.
В это время, команда Google уже объявила дату окончательного выпиливания поддержки NPN из кода Chromium: 31 мая. Кстати, SPDY также перестанет работать.

Решение



Чтобы не потерять поддержку HTTP/2, стоит уже сейчас позаботиться о поддержке APLN. Конечно, можно резко перейти на Ubuntu 16.04, но думаю, что это не всем подходит.
Рецепт решения довольно прямой и понятный: нужно собрать Nginx на базе свежего OpenSSL.
Переходим к делу:

0. Устанавливаем Nginx из официального репозитория. Это даёт нам установку скрипта запуска сервера и понадобится для дальнейшей работы. После установки репозиторий нужно закомментировать, чтобы последующие апдейты не снесли наш кастомный Nginx.

1. Качаем исходники Nginx и OpenSSL (версии указаны на момент написания статьи):

wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
wget http://nginx.org/download/nginx-1.10.0.tar.gz


2. Распаковываем архивы.

3. Устанавливаем пакеты для успешной сборки Nginx:

sudo apt-get -y install build-essential libpcre3 libpcre3-dev zlib1g-dev checkinstall
sudo apt-get build-dep nginx


4. Конфигурируем Nginx. Для этого копируем часть вывода команды nginx -V c добавлением папки с исходниками OpenSSL (--with-openssl=/home/db/openssl-1.0.2h). У меня получилось следующее (я убрал GeoIP модуль):
--prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,--as-needed' --with-openssl=/home/db/openssl-1.0.2h


Если в процессе конфига возникают ошибки, скорее всего не найдены какие-либо зависимости. Обычно это лечится установкой пакетов вида: libXYZ-dev.

5. Собираем Nginx (в папке исходников):

make


6. Далее можно сделать просто make install, но мы соберём модуль. Это будет более удобно и аккуратно (можно обновлять, удалять и т.д.) Для этого:

sudo checkinstall --pkgname=nginx --pkgversion=1.10.0 --nodoc


В процессе сборки модуля нужно будет внести описание модуля, можно оставить что-то вроде Nginx + OpenSSL 1.0.2. После этого пакет должен установиться. Также его можно переносить между похожими системами и устанавливать уже как обычно:

dpkg -i nginx_1.10.0-1_amd64.deb


7. Проверить поддержку APLN можно здесь или в командной строке (на системе должна быть версия 1.0.2+)

echo | openssl s_client -alpn h2 -connect your-host:443 | grep ALPN


Вот и всё!
Поделиться с друзьями
-->

Комментарии (11)


  1. FFiX
    23.05.2016 13:45
    #9621776
    +2

    Один минус — после этого надо самостоятельно следить и устранять уязвимости как в openssl, так и в nginx.
    В идеале, конечно, хорошо бы сделать ppa (если такого еще нет).


    1. Nickmob
      23.05.2016 13:53
      #9621790

      Да, есть такое. Идеально по-моему, если разработчики Nginx собрали бы его с OpenSSL 1.0.2.


      1. VBart
        24.05.2016 00:18
        #9622502

        Разработчики nginx тоже не хотят следить и устранять уязвимости в OpenSSL, причем сразу для всех ваших любимых дистрибутивов.


  1. Morfi
    23.05.2016 14:20
    #9621836
    +8

    Мне кажется гораздо удобнее пересобирать пакет с нужными опциями через

    sudo apt-get build-dep nginx
apt-get source nginx
cd nginx-*
DEB_CFLAGS_APPEND="--with-openssl=/home/db/openssl-1.0.2h" dpkg-buildpackage -us -uc


  1. istui
    23.05.2016 14:39
    #9621860

    Оффтоп: а в случае с CentOS нас ждет то же самое? в 6.х сейчас OpenSSL 1.0.1е с бэкпортируемыми патчами для уязвимостей.


    1. technowizard
      23.05.2016 21:04
      #9622352
      +1

      Похоже, что даже в CentOS 7 все еще 1.0.1

      Для CentOS 6/7 можно собрать OpenSSL 1.0.2d RPM из FC23. Потребуется небольшой фикс — заменить в четырех патчах вызовы secure_getenv на __secure_getenv плюс потребуется пересобрать еще один дополнительный пакет из FC23 — crypto-policies.

      Устанавливаем получившиеся crypto-policies, openssl, openssl-libs и openssl-devel. Пересобираем nginx из src.rpm, апдейтим и ALPN начинает работать.


  1. Graid
    23.05.2016 16:23
    #9622014
    +1

    Обновления до 1.0.2 ждать не приходится, только при обновлении дистрибутива (например, до 16.04).

    $ lsb_release -a
    Description: Ubuntu 14.04.4 LTS
    $ openssl version
    OpenSSL 1.0.2h 3 May 2016

    Странно, у меня уже 1.0.2, хотя nginx собран с 1.0.1f


    1. Nickmob
      23.05.2016 16:31
      #9622026

      Да, это у вас какой-то нестандартный openSSL стоит.
      https://launchpad.net/ubuntu/+source/openssl


  1. allXunder
    23.05.2016 18:26
    #9622212
    +1

    Не факт:
    #lsb_release -a
    No LSB modules are available.
    Distributor ID: Ubuntu
    Description: Ubuntu 14.04.4 LTS
    Release: 14.04
    Codename: trusty
    # openssl version
    OpenSSL 1.0.2h 3 May 2016


  1. VBart
    24.05.2016 00:32
    #9622514
    +1

    То что Chrome перестанет работать по HTTP/2 — это может быть даже и хорошо. Они собственный протокол нормально реализовать не могут, сплошные грабли: раз и два.


    Пытались с ними много раз договориться, чтобы не выкидывали поддержку NPN, поскольку серверное ПО обновляется не так часто, но безуспешно, лишь отложили на несколько месяцев. Главное ведь, что google.com и gmail.com работать будут, остальное ? не важно.


    1. Nickmob
      24.05.2016 09:48
      #9622856

      Ну, всё-таки это новый протокол. При внедрении HTTP/1.1 тоже не всё было гладко наверное. Думаю, что нам (веб-разработчикам) нужно его использовать, баги выявлять, писать. Вот, например недавно был баг в FF, который мы с вами исследовали. Уже вышел workaround и фикс для FF 47.
      А по поддержке NPN — они пользуются своей монополией на браузеры, которая де-факто установилась. Реально конкурирует с ними только Firefox, ну и Safari для маков. Интересно, можно ли на Google воздействовать через Яндекс и Opera, они же вроде тоже вносят свой код в Chromium?