Nginxでtls1.3-Draft23を有効化してみた

chrome65でどうやらtls1.3を正式採用するらしいので
有効化してみた。

h2packの方はこちらを参考にしてほしいかな。

nginx_1.13.1_http2_hpack.patch
CF(クラウドフェア)から出ているnginxのパッチを当ててみた。 パッチの中身をみると Add support for full HPACK encoding as per RFC7541. This modificatio...
# cd /usr/local/src
# git clone https://github.com/openssl/openssl.git
# hg clone http://hg.nginx.org/nginx
# cd nginx
# ./auto/configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx \ 
--modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log \ 
--pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock \ 
--http-client-body-temp-path=/var/cache/nginx/client_temp \ 
--http-proxy-temp-path=/var/cache/nginx/proxy_temp \
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \ 
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \ 
--http-scgi-temp-path=/var/cache/nginx/scgi_temp \ 
--user=nginx --group=nginx --with-http_ssl_module \
--add-module=/usr/local/src/nginx-ct --with-http_v2_hpack_enc \
--with-openssl=/usr/local/src/openssl --with-openssl-opt=enable-tls1_3 \
--with-http_realip_module --with-http_addition_module \
--with-http_sub_module --with-http_dav_module --with-http_flv_module \ 
--with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module \ 
--with-http_random_index_module --with-debug --with-http_secure_link_module \ 
--with-http_stub_status_module --with-http_auth_request_module \ 
--with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic \ 
--with-http_geoip_module=dynamic --with-http_perl_module=dynamic \
--add-module=/usr/local/src/ngx_brotli \
--add-module=/usr/local/src/nginx-http-rdns \ 
--add-dynamic-module=/usr/local/src/njs/nginx --with-threads --with-stream \
--with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module \ 
--with-file-aio --with-compat --with-http_v2_module \
--with-cc-opt='-g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic' --with-ld-opt=-Wl,-E

そして次にmakeするとエラーになります。

Makafileを編集
# vi ./objs/Makefile
564行目くらいに下記を追加再度make
/usr/local/src/openssl/.openssl/lib/libcrypto.a -ldl -lz -lpthread \

そしてnginx.confを下記に変更。どうもセッションキャッシュが動くとカナリーの方は問題なくうごくが、他のブラウザだとtls1.3を有効化すると再接続できない。

# tls1.3の有効化
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

# yukiさんにおしえてもらったTLS:$ssl_protocolを追加tlsのバージョンがログに出力
log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"'
                      'TLS:$ssl_protocol';

# カナリー以外のブラウザだと再接続に問題があるので無効化
    ssl_session_tickets off;
    ssl_session_ticket_key /etc/nginx/ticket.key;

    #ssl_session_cache shared:SSL:10m;
    #ssl_session_timeout 10m;

# 暗号スィートをtls1.3に変更
ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:TLS13-AES-256-GCM-SHA384:CHACHA20:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!AES128-CCM:!AES256-CCM:!AES256-CCM8:!AES128-CCM8:!AES128-GCM-SHA256:!AES256-GCM-SHA384:!AES128-SHA256:!AES256-SHA256:!AES128-SHA:!AES256-SHA:AES:!CAMELLIA:!DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

ということで

ログはこんな風に

xxx.xxx.xxx.xxx – – [06/Feb/2018:09:47:07 +0900] “GET /d23tls1.3.jpg HTTP/2.0” 200 60344 “https://www.superweibu.com/” “Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3340.0 Safari/537.36” “-“TLS:TLSv1.3

またブラウザはこんな風に

となりました。正式採用したら、また改めてブログを書きます。