怎么无痛的上 opensssl 1.0.2？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3116 天前的主题，其中的信息可能已经有所发展或是发生改变。

centos7 ubuntu14.04 debian8 暂时都还是 openssl 1.0.1

除了编译之外，还有更好的方式么？

26 条回复 • 2015-10-28 02:05:08 +08:00

kiritoalex

2015-10-27 13:02:37 +08:00 via Android

换系统

pupboss

2015-10-27 13:08:39 +08:00

https://packages.debian.org/sid/i386/openssl/download

unity0703

2015-10-27 13:18:34 +08:00

找找有没有现成的 Docker

ivmm

2015-10-27 14:19:16 +08:00 via Android

@pupboss 升级到 sid ，我怕不稳定

skydiver

2015-10-27 14:20:51 +08:00

为什么要新版？
如果是有安全漏洞， redhat 会 backport 到旧版上的。一直用官方源里面的就没问题。

Felldeadbird

2015-10-27 14:26:38 +08:00

ubuntu 找对应的源，然后升级咯。

pupboss

2015-10-27 14:26:59 +08:00 via iPhone

@ivmm 对，刚才我自己也测试了，各种报错，现在打算是编译解决

@skydiver 源里是 1.0.1e ，官方说最低是 g 修复了这个漏洞

skydiver

2015-10-27 14:30:14 +08:00

@pupboss 源里的包是经过打包的，严重漏洞都会打包时 backport 到旧版。

pupboss

2015-10-27 14:32:31 +08:00 via iPhone

@skydiver 这样啊 :) 多谢

ivmm

2015-10-27 16:46:11 +08:00 via Android

@skydiver http/2 为了这货
@Felldeadbird vps 厂商不提供 tls 以外的系统

skydiver

2015-10-27 17:02:50 +08:00

@ivmm nghttp2 ？还是什么库？

ivmm

2015-10-27 17:18:21 +08:00

@skydiver 嗯啊～～

ivmm

2015-10-27 17:25:59 +08:00

@skydiver 不是 httpd 折腾 h2 ，是 nginx 上～～

bigtan

2015-10-27 17:27:19 +08:00

昨天刚换了 Apache 升级到了支持 http2 的版本

把 Ubuntu 源 sid ，直接装，不用编译

skydiver

2015-10-27 17:33:26 +08:00

@ivmm 我直接加的 nginx 源安装的 http://nginx.org/en/linux_packages.html 没遇到 openssl 的问题。

ivmm

2015-10-27 17:35:22 +08:00

@skydiver 我是编译的，也设置要 443 端口 http2 了，但是打开的协议还是 http1.1
www.vobe.io

ivmm

2015-10-27 17:36:54 +08:00

```
server {
listen 80;
server_name www.vobe.io;
rewrite ^(.*) https://www.vobe.io/$1 permanent;
}

server {
listen 443 ssl http2 default_server;
server_name www.vobe.io;
ssl on;
ssl_certificate /usr/local/nginx/conf/vhost/1_vobe.io_bundle.crt;
ssl_certificate_key /usr/local/nginx/conf/vhost/2_vobe.io.key;
ssl_dhparam /usr/local/nginx/conf/vhost/3_vobe.io_dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
ssl_session_timeout 10m;
ssl_buffer_size 1400;
ssl_session_cache builtin:1000 shared:SSL:20m;
ssl_session_tickets off;
resolver 223.5.5.5 223.6.6.6 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';
add_header X-Cache $upstream_cache_status;
add_header Access-Control-Allow-Origin: *;
```

ivmm

2015-10-27 17:37:43 +08:00

@bigtan 还是不稳定啊

bigtan

2015-10-27 17:40:18 +08:00

@ivmm 你说 Apache 吗，用得挺好的来着。。

ivmm

2015-10-27 17:41:56 +08:00

@bigtan 整个 sid 环境不都是测试环境么～～

bigtan

2015-10-27 17:47:13 +08:00

@ivmm 那是，我反正自己博客，只要数据不丢，其他的无所谓了

skydiver

2015-10-27 17:51:02 +08:00

无法连接。。 @ivmm

kn007

2015-10-27 17:54:05 +08:00

没有无痛，必须编译，编译也不会有问题啊。
nginx 的话可以不用编译：
https://kn007.net/topics/choose-nginx-ssl-ciphers/

libressl （不需预编译）和 openssl （忘记要不要预编译）支持直接给 nginx 编译

kn007

2015-10-27 17:56:56 +08:00

ivmm

2015-10-27 17:57:19 +08:00

@skydiver 现在由开始重新弄环境了

hyuwang

2015-10-28 02:05:08 +08:00

试了下编译坑挺多的，花了不少时间才搞定，于是写了个 docker image, openssl 1.0.2 + nginx 1.9.6 with http2 module
欢迎尝试
http://www.v2ex.com/t/231591