NGINX 1.15.0 mainline с OpenSSL 1.1.1-pre2 TLS 1.3 draft 23 и brotli для Red Hat Enterprise Linux и CentOS

В репозиторий добавлен NGINX 1.15.0-1 mainline-версии, собранный статически с OpenSSL 1.1.1-pre2 и ngx cache purge.
Работает поддержка TLS 1.3 draft 23, которое поставляется в текущих версиях Google Chrome и Mozilla Firefox; сжатие brotli.

Ссылки:

Или же воспользуйтесь нашим репозиторием.

NGINX 1.15.0 mainline с OpenSSL 1.1.1-pre2 TLS 1.3 draft 23 и brotli для Red Hat Enterprise Linux и CentOS: 6 комментариев

  1. Почему-то при переходе с официального repo на mainline пропала поддержка TLS 1.3.
    Конфиг не менялся, но на базовом репо работает 1.3, а на mainline не работает.
    В чем может быть причина?
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ecdh_curve secp521r1:secp384r1:prime256v1;
    ssl_ciphers «ECDHE-`ECDSA-CHACHA20-POLY1305 TLS13-AES-256-GCM-SHA384 TLS13-CHACHA20-POLY1305-SHA256 TLS13-AES-128-GCM-SHA256 TLS13-AES-128-CCM-8-SHA256 TLS13-AES-128-CCM-SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA !DSS !aNULL !eNULL !EXPORT !3DES !DES !RC4 !MD5 !PSK !aECDH !EDH-DSS-DES-CBC3-SHA !EDH-RSA-DES-CBC3-SHA !KRB5-DES-CBC3-SHA !CAMELLIA !ADH !LOW !EXP !SRP»;

    nginx -V
    nginx version: nginx/1.15.1
    built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
    built with OpenSSL 1.1.1-pre2 (alpha) 27 Feb 2018
    TLS SNI support enabled
    configure arguments: —prefix=/etc/nginx —sbin-path=/usr/sbin/nginx —modules-path=/usr/lib64/nginx/modules —conf-path=/etc/nginx/nginx.conf —error-log-path=/var/log/nginx/error.log —http-log-path=/var/log/nginx/access.log —pid-path=/var/run/nginx.pid —lock-path=/var/run/nginx.lock —http-client-body-temp-path=/var/cache/nginx/client_temp —http-proxy-temp-path=/var/cache/nginx/proxy_temp —http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp —http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp —http-scgi-temp-path=/var/cache/nginx/scgi_temp —user=nginx —group=nginx —with-compat —with-file-aio —with-threads —with-http_addition_module —with-http_auth_request_module —with-http_dav_module —with-http_flv_module —with-http_gunzip_module —with-http_gzip_static_module —with-http_mp4_module —with-http_random_index_module —with-http_realip_module —with-http_secure_link_module —with-http_slice_module —with-http_ssl_module —with-http_stub_status_module —with-http_sub_module —with-http_v2_module —with-mail —with-mail_ssl_module —with-stream —with-stream_realip_module —with-stream_ssl_module —with-stream_ssl_preread_module —add-module=/tmp/nginx/ngx_brotli —with-openssl=/tmp/nginx/openssl —add-module=/tmp/nginx/ngx_cache_purge —with-cc-opt=’-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong —param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC’ —with-ld-opt=’-Wl,-z,relro -Wl,-z,now -pie’

    1. Михаил, возможно дело в версии драфта TLS 1.3. Сравните, пожалуйста, с версией из базового репо. У нас — OpenSSL 1.1.1-pre2, соответствующий TLS 1.3 draft 23, который поддерживается большинством браузеров.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *