NginxでHTTP/2(ALPN対応) - Carpe Diem
概要 以前NginxでHTTP/2 - Carpe Diemを書きましたが最近改めて確認してみると のようにHTTP/2が使えていないことが分かりました。今回はこの問題に対応します。 原因 TLS上でのプロトコルのネゴシエーションは以下の2つがあるのですが、 ネゴシエーション ポイント NPN 使用出来るプロトコルのリストをサーバが提示しクライアントが選択する ALPN 使用出来るプロトコルのリストをクライアントが提示しサーバが選択する SPDYがまだ使えていた時にはChromeもNPNに対応していたのですが、HTTP/2に本格的に対応してからALPNのみにしか対応しなくなりました。またAndroidのHTTPクライアントである github.com もALPNでないといけないので、ネイティブアプリでHTTP/2を扱う上でやはりALPNに対応する必要があります。 ALPNに対応するにはOp
Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD
最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ
NginxでのSSL設定(もうちょっと詳しく)
と、実行してバージョンアップしておく。 もし、「–with-openssl=」オプション付きでnginxをmakeしてある場合は、新しいバージョンのopensslのソースを準備してnginxを作成し直すこと。 暗号化スイートの設定 対応する暗号化スイートは、ssl_ciphersディレクティブで設定するが、ネット上の多くの情報はこれらの記載がないものが多い。 つまりは、クライアントサイドが指定した暗号化スイートで暗号化していることになる。 安全なSSL接続を目指すなら、サーバサイドで指定した暗号化スイートで通信を暗号化するほうが望ましい。 ということで、まずは世の中のデ・ファクト・スタンダードはどうなっているのか調べてみたが、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定が一番多くのサイトでの引用元になっているようだ。 Security/Server Si
nginx で SSL リバースプロキシを構築 - WebOS Goodies
最近あまりネタがないのでが、このままだとまた何週間も投稿なしになりそうなので、以前やった nginx による SSL リバースプロキシの構築方法を備忘録的に書いてみます。開発目的で GAE の dev_appserver.py を SSL 化するために使っただけですが、パッケージシステム等を使わずにソースからビルドし、一般ユーザー権限でインストールする方法にしています。ごく基本的な内容ですが、参考にしていただければ幸いです。 nginx とは nginx は Tornado などと同様の非同期イベントドリブンモデルを採用した HTTP サーバーです。 BSD に似たライセンスのオープンソースソフトウェアとして公開されています。プロセス・スレッドモデルを採用した Apache などよりも多数のコネクションを効率よく処理できるため、多くの高負荷サイトで採用されています。現在 Apache, I
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
O3 Magazine
