วิธีสร้างใบรับรอง TLS ที่มีส่วนขยาย SXG, ติดตั้งเครื่องมือสำหรับการสร้างไฟล์ SXG และกำหนดค่า Nnginx เพื่อแสดงไฟล์ SXG
Signed HTTP Exchange (SXG) เป็นเทคโนโลยีบนเว็บใหม่ที่ช่วยให้ผู้ใช้แยกแยะผู้สร้างเนื้อหาออกจากผู้เผยแพร่เนื้อหาได้ง่ายขึ้น คู่มือนี้แสดงวิธีตั้งค่า SXG
การสนับสนุนในเบราว์เซอร์ต่างๆ
เบราว์เซอร์แบบ Chromium หลายเบราว์เซอร์รองรับ SXG ซึ่งรวมถึง Google Chrome, Samsung Internet และ Microsoft Edge โปรดดูข้อมูลล่าสุดในส่วน "ฉันทามติและมาตรฐาน" ของ Origin-Signed HTTP Exchange
ข้อกำหนดเบื้องต้น
หากต้องการใช้ SXG ในเว็บไซต์ คุณต้องดําเนินการต่อไปนี้
- ควบคุมโดเมนของคุณ รวมถึงรายการ DNS ได้
- รับใบรับรอง ทั้งนี้ SXG จำเป็นต้องมีการออกใบรับรองเฉพาะ โดยเฉพาะอย่างยิ่ง คุณไม่สามารถนำคีย์หรือใบรับรอง TLS มาใช้ซ้ำได้
- มีเซิร์ฟเวอร์ HTTP ที่สร้างและแสดง SXG ผ่าน HTTPS ได้
สมมติฐาน
คู่มือนี้จะถือว่าคุณ:
- มีสภาพแวดล้อม OpenSSL 1.1.1 คู่มือนี้เขียนขึ้นด้วย Ubuntu 18.04 LTS บน amd64 ISA
- เรียกใช้
sudo
เพื่อติดตั้งไฟล์สั่งการได้ - ใช้
nginx
เป็นเซิร์ฟเวอร์ HTTP - ใช้ DigiCert สร้างใบรับรองที่มีส่วนขยายที่เกี่ยวข้องกับ SXG เนื่องจากดูเหมือนว่าผู้ให้บริการรายนี้เป็นเพียงผู้ให้บริการเดียวที่รองรับส่วนขยายเหล่านี้
นอกจากนี้ คำสั่งตัวอย่างในบทความนี้จะถือว่าโดเมนของคุณคือ website.test
ดังนั้นคุณจะต้องแทนที่ website.test
ด้วยโดเมนจริงของคุณ
ขั้นตอนที่ 1: รับใบรับรองสำหรับ SXG
หากต้องการสร้าง SXG คุณต้องมีใบรับรอง TLS ที่มีส่วนขยาย CanSignHttpExchanges
รวมถึงประเภทคีย์ที่เฉพาะเจาะจง
DigiCert มอบใบรับรองที่มีส่วนขยายนี้
คุณจำเป็นต้องใช้ไฟล์ CSR ในการออกใบรับรอง ดังนั้นให้สร้างไฟล์ด้วยคำสั่งต่อไปนี้
openssl ecparam -genkey -name prime256v1 -out mySxg.key
openssl req -new -key mySxg.key -nodes -out mySxg.csr -subj "/O=Test/C=US/CN=website.test"
คุณจะได้รับไฟล์ CSR ที่มีลักษณะดังนี้
-----BEGIN CERTIFICATE REQUEST-----
MIHuMIGVAgEAMDMxDTALBgNVBAoMBFRlc3QxCzAJBgNVBAYTAlVTMRUwEwYDVQQD
DAx3ZWJzaXRlLnRlc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAAS7IVaeMvid
S5UO7BspzSe5eqT5Qk6X6dCggUiV/vyqQaFDjA/ALyTofgXpbCaksorPaDhdA+f9
APdHWkTbbdv1oAAwCgYIKoZIzj0EAwIDSAAwRQIhAIb7n7Kcc6Y6pU3vFr8SDNkB
kEadlVKNA24SVZ/hn3fjAiAS2tWXhYdJX6xjf2+DL/smB36MKbXg7VWy0K1tWmFi
Sg==
-----END CERTIFICATE REQUEST-----
ตรวจสอบตามรายละเอียดต่อไปนี้
- ระยะเวลาที่ใช้ได้ต้องไม่เกิน 90 วัน
- ช่องทำเครื่องหมายรวมส่วนขยาย CanSignHttpExchanges ในใบรับรองเปิดอยู่ ซึ่งอยู่ในตัวเลือกใบรับรองเพิ่มเติม
หากใบรับรองไม่ตรงกับเงื่อนไขเหล่านี้ เบราว์เซอร์และผู้จัดจำหน่ายจะปฏิเสธ SXG ด้วยเหตุผลด้านความปลอดภัย
คู่มือนี้จะถือว่าชื่อไฟล์ของใบรับรองที่คุณได้รับจาก DigiCert เป็น mySxg.pem
ขั้นตอนที่ 2: ติดตั้ง libsxg
รูปแบบ SXG มีความซับซ้อนและสร้างได้ยากโดยไม่ต้องใช้เครื่องมือ คุณสามารถสร้าง SXG โดยใช้ตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้
- เครื่องมือ gen-signedexchange ที่เขียนใน Go
- คลัง
libsxg
ที่เขียนด้วยตัวอักษร C.
คู่มือนี้ใช้ libsxg
ตัวเลือกที่ 1: ติดตั้ง libsxg
จากแพ็กเกจ Debian
คุณสามารถติดตั้งแพ็กเกจด้วยวิธี Debian ปกติ ตราบใดที่เวอร์ชัน OpenSSL (libssl-dev
) ตรงกัน
sudo apt install -y libssl-dev
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg0_0.2-1_amd64.deb
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg-dev_0.2-1_amd64.deb
sudo dpkg -i libsxg0_0.2-1_amd64.deb
sudo dpkg -i libsxg-dev_0.2-1_amd64.deb
ตัวเลือกที่ 2: สร้าง libsxg
ด้วยตนเอง
หากคุณไม่ได้ใช้สภาพแวดล้อมที่ทำงานร่วมกับไฟล์ .deb
ได้ ก็สร้าง libsxg
ได้ด้วยตัวเอง
สำหรับเงื่อนไขที่กำหนดไว้ล่วงหน้า คุณต้องติดตั้ง git
, cmake
, openssl
และ gcc
git clone https://github.com/google/libsxg
mkdir libsxg/build
cd libsxg/build
cmake .. -DRUN_TEST=false -DCMAKE_BUILD_TYPE=Release
make
sudo make install
ขั้นตอนที่ 3: ติดตั้งปลั๊กอิน nginx
ปลั๊กอิน nginx
ช่วยให้คุณสร้าง SXG แบบไดนามิกแทนที่จะสร้างแบบคงที่ก่อนที่จะแสดง
ตัวเลือกที่ 1: ติดตั้งปลั๊กอินจากแพ็กเกจ Debian
โมดูล SXG สำหรับ nginx
กระจายอยู่ใน GitHub
ในระบบ Debian คุณสามารถติดตั้งเป็นแพ็กเกจไบนารีได้
sudo apt install -y nginx=1.15.9-0
wget https://github.com/google/nginx-sxg-module/releases/download/v0.1/libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
sudo dpkg -i libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
ตัวเลือกที่ 2: สร้างปลั๊กอินด้วยตนเอง
การสร้างโมดูล nginx
จำเป็นต้องมีซอร์สโค้ด nginx
คุณรับ Tarball และสร้างไปพร้อมกับโมดูลไดนามิกของ SXG โดยใช้คำสั่งด้านล่าง
git clone https://github.com/google/nginx-sxg-module
wget https://nginx.org/download/nginx-1.17.5.tar.gz
tar xvf nginx-1.17.5.tar.gz
cd nginx-1.17.5
./configure --prefix=/opt/nginx --add-dynamic-module=../nginx-sxg-module --without-http_rewrite_module --with-http_ssl_module
make
sudo make install
การกำหนดค่า nginx
มีความยืดหยุ่นมาก
ติดตั้ง nginx
ที่ใดก็ได้ในระบบ จากนั้นระบุเส้นทางที่เกี่ยวข้องของ module/config/log/pidfile
คู่มือนี้จะถือว่าคุณติดตั้งแอปใน /opt/nginx
ขั้นตอนที่ 4: กำหนดค่าปลั๊กอิน nginx
ให้ทำงานกับ SXG
ตัวเลือกที่ 1: กำหนดค่าโมดูล nginx
ที่ติดตั้งจาก Debian
ทำตามวิธีการเหล่านี้หากคุณใช้ขั้นตอนที่ 3 ตัวเลือกที่ 1 ก่อนหน้านี้
การส่งเนื้อหา SXG ต้องใช้ HTTPS คุณจะรับใบรับรอง SSL/TLS จาก DigiCert, Let's Encrypt และบริการอื่นๆ ได้ โปรดทราบว่าคุณไม่สามารถใช้ใบรับรอง SXG กับ SSL สำหรับ SSL หรือในทางกลับกัน คุณจึงต้องใช้ใบรับรอง 2 ใบ ไฟล์การกำหนดค่าใน /etc/nginx/nginx.conf
ควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้ สมมติว่าคุณใส่คู่คีย์/ใบรับรอง SSL ใน /path/to/ssl/
และคู่คีย์/ใบรับรอง SXG ใน /path/to/sxg/
user www-data;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
}
http {
include mime.types;
default_type application/octet-stream;
add_header X-Content-Type-Options nosniff;
server {
listen 443 ssl;
ssl_certificate /path/to/ssl/fullchain.pem;
ssl_certificate_key /path/to/ssl/privkey.pem;
server_name website.test;
sxg on;
sxg_certificate /path/to/sxg/mySxg.pem;
sxg_certificate_key /path/to/sxg/mySxg.key;
sxg_cert_url https://website.test/certs/cert.cbor;
sxg_validity_url https://website.test/validity/resource.msg;
sxg_cert_path /certs/cert.cbor;
root /var/www/html;
}
}
sxg_cert_url
จําเป็นเพื่อให้เบราว์เซอร์โหลด SXG ได้อย่างถูกต้องเนื่องจากค้นหาเชนใบรับรอง เชนใบรับรองประกอบด้วยข้อมูลการเย็บเล่มใบรับรองและ OCSP ที่มีรูปแบบ cbor โปรดทราบว่าคุณไม่จำเป็นต้องแสดงไฟล์cert.cbor
จากต้นทางเดียวกัน คุณสามารถแสดงผ่าน CDN หรือบริการส่งไฟล์แบบคงที่อื่นๆ ได้ ตราบใดที่บริการดังกล่าวรองรับ HTTPSsxg_validitiy_url
มีแผนจะแสดงข้อมูลที่เกี่ยวข้องกับ SXG-signature-header หากไม่มีการแก้ไขหน้าเว็บตั้งแต่ SXG ล่าสุด ก็ไม่จำเป็นต้องดาวน์โหลดไฟล์ SXG ทั้งไฟล์ในทางเทคนิค ดังนั้นการอัปเดตข้อมูลส่วนหัวของลายเซ็นเพียงอย่างเดียวจึงช่วยลดการจราจรของข้อมูลในเครือข่ายได้ แต่ยังไม่มีการนำรายละเอียดมาใช้
เริ่ม nginx
และคุณพร้อมที่จะให้บริการ SXG แล้ว
sudo systemctl start nginx.service
curl -H"Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
cat index.html.sxg
sxg1-b3...https://website.test/...(omit)
ตัวเลือกที่ 2: กำหนดค่าโมดูล nginx
ที่สร้างขึ้นจากต้นทาง
ทำตามวิธีการเหล่านี้หากคุณใช้ขั้นตอนที่ 3 ตัวเลือกที่ 2 ก่อนหน้านี้
กำหนดค่าระบบ nginx
ที่ติดตั้งใน /opt/nginx
ให้มีลักษณะคล้ายกับตัวอย่างต่อไปนี้
load_module "/opt/nginx/modules/ngx_http_sxg_filter_module.so";
events {
worker_connections 768;
}
http {
include mime.types;
default_type application/octet-stream;
add_header X-Content-Type-Options nosniff;
server {
listen 443 ssl;
ssl_certificate /path/to/ssl/fullchain.pem;
ssl_certificate_key /path/to/ssl/privkey.pem;
server_name example.com;
sxg on;
sxg_certificate /path/to/sxg/mySxg.pem;
sxg_certificate_key /path/to/sxg/mySxg.key;
sxg_cert_url https://website.test/certs/cert.cbor;
sxg_validity_url https://website.test/validity/resource.msg;
sxg_cert_path /certs/cert.cbor;
root /opt/nginx/html;
}
}
จากนั้นเริ่ม nginx
ตอนนี้คุณซื้อ SXG ได้แล้ว
cd /opt/nginx/sbin
sudo ./nginx
curl -H "Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
less index.html.sxg
sxg1-b3...https://website.test/...(omit)
ขั้นตอนที่ 5: ให้บริการแบ็กเอนด์แอปพลิเคชันของคุณ
ในตัวอย่างข้างต้น nginx
จะแสดงไฟล์แบบคงที่ในไดเรกทอรีราก แต่คุณสามารถใช้คำสั่งอัปสตรีมสำหรับแอปพลิเคชันเพื่อสร้าง SXG สำหรับแบ็กเอนด์เว็บแอปพลิเคชันที่กำหนดเอง (เช่น Ruby on Rails, Django หรือ Express) ตราบใดที่ nginx
ทำงานเป็นเซิร์ฟเวอร์ HTTP(S) ด้านหน้า
upstream app {
server 127.0.0.1:8080;
}
server {
location / {
proxy_pass http://app;
}
}
ขั้นตอนที่ 6: ทดสอบ
ใช้เครื่องมือ dump-signedExchange เพื่อทดสอบว่า SXG ที่กำลังแสดงผลนั้นถูกต้อง ไม่มีการรายงานข้อผิดพลาด และตรวจสอบว่าส่วนหัวและเนื้อหาเป็นไปตามที่คาดไว้
go get -u github.com/WICG/webpackage/go/signedexchange/cmd/dump-signedexchange
export PATH=$PATH:~/go/bin
dump-signedexchange -verify -uri https://website.test/ | less
ส่งความคิดเห็น
วิศวกร Chromium ที่ดูแล SXG ต้องการรับฟังความคิดเห็นของคุณที่ webpackage-dev@chromium.org นอกจากนี้ยังเข้าร่วมการพูดคุยเรื่องข้อกำหนดหรือรายงานข้อบกพร่องไปยังทีมได้ด้วย ความคิดเห็นของคุณจะช่วยในกระบวนการกำหนดมาตรฐานได้เป็นอย่างมาก และช่วยแก้ปัญหาการใช้งานด้วย ขอขอบคุณ