Nao Taco

組み込み屋

わーい。

といってもとりあえずこのブログだけなのだが(お察しください)。

去年TLS1.3の仕様が確定して、これに対応したOpenSSL1.1.1の正式版がリリースされ、最近やっとOSの安定版に取り込まれ始めたっぽい(2019/01/09現在)。Debianにはまだtestingにしか来てないようだが、Ubuntu 18.10(cosmic)には来ているので、これをベースにすれば何も考えずTLS1.3が使える。意味があるのかないのかで言うと、まったく無いと言ってよい。

公式のnginxイメージはDebainベースなので、これを ubuntu:cosmic ベースに変えたらそのままビルドできて動いた(雑)。あとは ssl_protocols TLSv1.3 TLSv1.2; としたらOKだった。

https://gist.github.com/naotaco/0b55e6297a11e99366c6a2ec96d11136

18.10はLTSではないのだが、まあdockerならいつでも新しいバージョンに乗り換えられるしいけるでしょ(慢心)。

定期的にイメージをリビルドしてコンテナ内のパッケージを更新しましょう。あとTLSの暗号スイートまわりの設定は適切にしましょう(プロフェッショナルSSL/TLSを読むとよさそう)。

その他参考

nginx + docker + Let’s Encrypt で割とはまった。Let’s Encryptは1時間に5回証明書の発行に失敗すると(DNS引けないとかドメイン確認用のファイルにアクセスできないなど)するとしばらく発行できなくなったりする。

docker内のnginxでLet’s Encryptから証明書を取得する: https://medium.com/@pentacent/nginx-and-lets-encrypt-with-docker-in-less-than-5-minutes-b4b8a60d3a71

あとついでにIPv6にも対応してるはず。

You May Also Enjoy

2023年の写真

今年も苦しかった。撮影を目的とした外出はほとんどできず、星の写真も撮れなかった。

買ってよかった2023

2023年に買って良かったもの。もちろん誰も商品を提供したりしてはくれない。アフィリエイトリンクもないので存分にリンクをクリックしてください。