本当は昨日記事にかきたかったのですが、
muninのバージョンアップがありサーバーのリソースが監視できなくなってしまい
色々なんだかんだとやっていたら、午後五時に・・・。
結局ダウングレードすることによって解決。
そのうち暇があったらニューバージョンの方に対応させたいと思う。
さて、openssl-1.1.1がでたのでNginxを対応してみようと思う。
簡単なrpmファイルの作成でやってみよう。
作業ディレクトリに移動 # cd /usr/local/src openssl-1.1.1のダウンロード # wget https://www.openssl.org/source/openssl-1.1.1.tar.gz # tar zxvf openssl-1.1.1.tar.gz brotliのインストール # git clone https://github.com/google/ngx_brotli.git # cd /usr/local/src/ngx_brotli && git submodule update --init そしてsrpmファイルをインストール # rpm -ivh http://nginx.org/packages/mainline/centos/7/SRPMS/nginx-1.15.3-1.el7_4.ngx.src.rpm # cd /root/rpmbuild/SPECS specファイルの編集 # vi nginx.spec 58行目くらいに %define BASE_CONFIGURE_ARGS とあるので --with-http_v2_module後ろあたりに下記を追加 --with-openssl=/usr/local/src/openssl-1.1.1 --with-openssl-opt=enable-tls1_3 --add-module=/usr/local/src/ngx_brotli lsb_releaseコマンドのインストール # yum -y install redhat-lsb-core rpmファイルの作成 # rpmbuild -ba nginx.spec rpmのディレクトリに移動とインストール # cd rpmbuild/RPMS/x86_64/ # rpm -ivh nginx-1.15.3-1.el7_4.ngx.x86_64.rpm nginx.confの編集 # vi /etc/nginx/nginx.conf # tls1.3の有効化 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #tls.13サイファースィート ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:TLS13-AES-256-GCM-SHA384';
こんな感じでやっつけでやってみました。
後はserviceコマンドなりで起動したりテストしたりしてみてください。
brotliのディレクティブは下記にかいてあります。
次にブラウザ側のほうです。
こちらはchrome70(10/16 release),firefoxとおおよそ10月には対応予定なので
それまでサーバーを対応させておけばよろしいのかなとおもいます。
今のところchrome canaryを使うと確認できます。chrome://flagsでtls1.3 finalを選べばアクセスできます。
レンタルサーバー側で対応してるのは今のところcloudflareですかね???
tls1.3の仕様につていはopensslのwikiか、RFCを読むよというでしょう
蛇足ながら、chromeでevsslの組織名がなくなるかもしれません。
とうとう Google が ChromeでEVの組織表示をなくす FieldTrial を始めたようです。https://t.co/vSF91Cj0x6
— Shigeki Ohtsu (@jovi0608) September 11, 2018
認証局のほうがこれをゆるさいないかも???
evsslをお使いのサイト管理者の方はちょっと頭の方にいれておいたほうがいいかもしれません。
最後にブログの読者さんから、連絡頂きましてこのブログが参考になったとtwiiterのDMをいただきました。
多少なりともお役に立てたのはうれしい限りです。
私は8年以上70歳くらいの素人に教わりながら、linux初心者の質問に答えてる程度です。
これからも初心者の背中を多少押せるくらいにはがんばりたいですな。
