วิธีตั้งค่า Signed HTTP Exchange (SXG) โดยใช้ nginx

วิธีสร้างใบรับรอง TLS ที่มีส่วนขยาย SXG, ติดตั้งเครื่องมือสำหรับการสร้างไฟล์ SXG และกำหนดค่า Nnginx เพื่อแสดงไฟล์ SXG

Hiroki Kumazaki
Hiroki Kumazaki
X GitHub

Signed HTTP Exchange (SXG) เป็นเทคโนโลยีบนเว็บใหม่ที่ช่วยให้ผู้ใช้แยกแยะผู้สร้างเนื้อหาออกจากผู้เผยแพร่เนื้อหาได้ง่ายขึ้น คู่มือนี้แสดงวิธีตั้งค่า SXG

การสนับสนุนในเบราว์เซอร์ต่างๆ

เบราว์เซอร์แบบ Chromium หลายเบราว์เซอร์รองรับ SXG ซึ่งรวมถึง Google Chrome, Samsung Internet และ Microsoft Edge โปรดดูข้อมูลล่าสุดในส่วน "ฉันทามติและมาตรฐาน" ของ Origin-Signed HTTP Exchange

ข้อกำหนดเบื้องต้น

หากต้องการใช้ SXG ในเว็บไซต์ คุณต้องดําเนินการต่อไปนี้

  • ควบคุมโดเมนของคุณ รวมถึงรายการ DNS ได้
  • รับใบรับรอง ทั้งนี้ SXG จำเป็นต้องมีการออกใบรับรองเฉพาะ โดยเฉพาะอย่างยิ่ง คุณไม่สามารถนำคีย์หรือใบรับรอง TLS มาใช้ซ้ำได้
  • มีเซิร์ฟเวอร์ HTTP ที่สร้างและแสดง SXG ผ่าน HTTPS ได้

สมมติฐาน

คู่มือนี้จะถือว่าคุณ:

  • มีสภาพแวดล้อม OpenSSL 1.1.1 คู่มือนี้เขียนขึ้นด้วย Ubuntu 18.04 LTS บน amd64 ISA
  • เรียกใช้ sudo เพื่อติดตั้งไฟล์สั่งการได้
  • ใช้ nginx เป็นเซิร์ฟเวอร์ HTTP
  • ใช้ DigiCert สร้างใบรับรองที่มีส่วนขยายที่เกี่ยวข้องกับ SXG เนื่องจากดูเหมือนว่าผู้ให้บริการรายนี้เป็นเพียงผู้ให้บริการเดียวที่รองรับส่วนขยายเหล่านี้

นอกจากนี้ คำสั่งตัวอย่างในบทความนี้จะถือว่าโดเมนของคุณคือ website.test ดังนั้นคุณจะต้องแทนที่ website.test ด้วยโดเมนจริงของคุณ

ขั้นตอนที่ 1: รับใบรับรองสำหรับ SXG

หากต้องการสร้าง SXG คุณต้องมีใบรับรอง TLS ที่มีส่วนขยาย CanSignHttpExchanges รวมถึงประเภทคีย์ที่เฉพาะเจาะจง DigiCert มอบใบรับรองที่มีส่วนขยายนี้ คุณจำเป็นต้องใช้ไฟล์ CSR ในการออกใบรับรอง ดังนั้นให้สร้างไฟล์ด้วยคำสั่งต่อไปนี้

openssl ecparam -genkey -name prime256v1 -out mySxg.key
openssl req -new -key mySxg.key -nodes -out mySxg.csr -subj "/O=Test/C=US/CN=website.test"

คุณจะได้รับไฟล์ CSR ที่มีลักษณะดังนี้

-----BEGIN CERTIFICATE REQUEST-----
MIHuMIGVAgEAMDMxDTALBgNVBAoMBFRlc3QxCzAJBgNVBAYTAlVTMRUwEwYDVQQD
DAx3ZWJzaXRlLnRlc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAAS7IVaeMvid
S5UO7BspzSe5eqT5Qk6X6dCggUiV/vyqQaFDjA/ALyTofgXpbCaksorPaDhdA+f9
APdHWkTbbdv1oAAwCgYIKoZIzj0EAwIDSAAwRQIhAIb7n7Kcc6Y6pU3vFr8SDNkB
kEadlVKNA24SVZ/hn3fjAiAS2tWXhYdJX6xjf2+DL/smB36MKbXg7VWy0K1tWmFi
Sg==
-----END CERTIFICATE REQUEST-----

ตรวจสอบตามรายละเอียดต่อไปนี้

  • ระยะเวลาที่ใช้ได้ต้องไม่เกิน 90 วัน
  • ช่องทำเครื่องหมายรวมส่วนขยาย CanSignHttpExchanges ในใบรับรองเปิดอยู่ ซึ่งอยู่ในตัวเลือกใบรับรองเพิ่มเติม
ช่องทำเครื่องหมายรวมส่วนขยาย CanSignHttpExchanges ในใบรับรอง

หากใบรับรองไม่ตรงกับเงื่อนไขเหล่านี้ เบราว์เซอร์และผู้จัดจำหน่ายจะปฏิเสธ SXG ด้วยเหตุผลด้านความปลอดภัย คู่มือนี้จะถือว่าชื่อไฟล์ของใบรับรองที่คุณได้รับจาก DigiCert เป็น mySxg.pem

ขั้นตอนที่ 2: ติดตั้ง libsxg

รูปแบบ SXG มีความซับซ้อนและสร้างได้ยากโดยไม่ต้องใช้เครื่องมือ คุณสามารถสร้าง SXG โดยใช้ตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้

คู่มือนี้ใช้ libsxg

ตัวเลือกที่ 1: ติดตั้ง libsxg จากแพ็กเกจ Debian

คุณสามารถติดตั้งแพ็กเกจด้วยวิธี Debian ปกติ ตราบใดที่เวอร์ชัน OpenSSL (libssl-dev) ตรงกัน

sudo apt install -y libssl-dev
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg0_0.2-1_amd64.deb
wget https://github.com/google/libsxg/releases/download/v0.2/libsxg-dev_0.2-1_amd64.deb
sudo dpkg -i libsxg0_0.2-1_amd64.deb
sudo dpkg -i libsxg-dev_0.2-1_amd64.deb

ตัวเลือกที่ 2: สร้าง libsxg ด้วยตนเอง

หากคุณไม่ได้ใช้สภาพแวดล้อมที่ทำงานร่วมกับไฟล์ .deb ได้ ก็สร้าง libsxg ได้ด้วยตัวเอง สำหรับเงื่อนไขที่กำหนดไว้ล่วงหน้า คุณต้องติดตั้ง git, cmake, openssl และ gcc

git clone https://github.com/google/libsxg
mkdir libsxg/build
cd libsxg/build
cmake .. -DRUN_TEST=false -DCMAKE_BUILD_TYPE=Release
make
sudo make install

ขั้นตอนที่ 3: ติดตั้งปลั๊กอิน nginx

ปลั๊กอิน nginx ช่วยให้คุณสร้าง SXG แบบไดนามิกแทนที่จะสร้างแบบคงที่ก่อนที่จะแสดง

ตัวเลือกที่ 1: ติดตั้งปลั๊กอินจากแพ็กเกจ Debian

โมดูล SXG สำหรับ nginx กระจายอยู่ใน GitHub ในระบบ Debian คุณสามารถติดตั้งเป็นแพ็กเกจไบนารีได้

sudo apt install -y nginx=1.15.9-0
wget https://github.com/google/nginx-sxg-module/releases/download/v0.1/libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb
sudo dpkg -i libnginx-mod-http-sxg-filter_1.15.9-0ubuntu1.1_amd64.deb

ตัวเลือกที่ 2: สร้างปลั๊กอินด้วยตนเอง

การสร้างโมดูล nginx จำเป็นต้องมีซอร์สโค้ด nginx คุณรับ Tarball และสร้างไปพร้อมกับโมดูลไดนามิกของ SXG โดยใช้คำสั่งด้านล่าง

git clone https://github.com/google/nginx-sxg-module
wget https://nginx.org/download/nginx-1.17.5.tar.gz
tar xvf nginx-1.17.5.tar.gz
cd nginx-1.17.5
./configure --prefix=/opt/nginx --add-dynamic-module=../nginx-sxg-module --without-http_rewrite_module --with-http_ssl_module
make
sudo make install

การกำหนดค่า nginx มีความยืดหยุ่นมาก ติดตั้ง nginx ที่ใดก็ได้ในระบบ จากนั้นระบุเส้นทางที่เกี่ยวข้องของ module/config/log/pidfile คู่มือนี้จะถือว่าคุณติดตั้งแอปใน /opt/nginx

ขั้นตอนที่ 4: กำหนดค่าปลั๊กอิน nginx ให้ทำงานกับ SXG

ตัวเลือกที่ 1: กำหนดค่าโมดูล nginx ที่ติดตั้งจาก Debian

ทำตามวิธีการเหล่านี้หากคุณใช้ขั้นตอนที่ 3 ตัวเลือกที่ 1 ก่อนหน้านี้

การส่งเนื้อหา SXG ต้องใช้ HTTPS คุณจะรับใบรับรอง SSL/TLS จาก DigiCert, Let's Encrypt และบริการอื่นๆ ได้ โปรดทราบว่าคุณไม่สามารถใช้ใบรับรอง SXG กับ SSL สำหรับ SSL หรือในทางกลับกัน คุณจึงต้องใช้ใบรับรอง 2 ใบ ไฟล์การกำหนดค่าใน /etc/nginx/nginx.conf ควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้ สมมติว่าคุณใส่คู่คีย์/ใบรับรอง SSL ใน /path/to/ssl/ และคู่คีย์/ใบรับรอง SXG ใน /path/to/sxg/

user www-data;
include /etc/nginx/modules-enabled/*.conf;

events {
     worker_connections 768;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    add_header  X-Content-Type-Options nosniff;

    server {
        listen 443 ssl;
        ssl_certificate     /path/to/ssl/fullchain.pem;
        ssl_certificate_key /path/to/ssl/privkey.pem;
        server_name  website.test;

        sxg on;
        sxg_certificate     /path/to/sxg/mySxg.pem;
        sxg_certificate_key /path/to/sxg/mySxg.key;
        sxg_cert_url        https://website.test/certs/cert.cbor;
        sxg_validity_url    https://website.test/validity/resource.msg;
        sxg_cert_path       /certs/cert.cbor;

        root /var/www/html;
    }
}
  • sxg_cert_url จําเป็นเพื่อให้เบราว์เซอร์โหลด SXG ได้อย่างถูกต้องเนื่องจากค้นหาเชนใบรับรอง เชนใบรับรองประกอบด้วยข้อมูลการเย็บเล่มใบรับรองและ OCSP ที่มีรูปแบบ cbor โปรดทราบว่าคุณไม่จำเป็นต้องแสดงไฟล์ cert.cbor จากต้นทางเดียวกัน คุณสามารถแสดงผ่าน CDN หรือบริการส่งไฟล์แบบคงที่อื่นๆ ได้ ตราบใดที่บริการดังกล่าวรองรับ HTTPS
  • sxg_validitiy_url มีแผนจะแสดงข้อมูลที่เกี่ยวข้องกับ SXG-signature-header หากไม่มีการแก้ไขหน้าเว็บตั้งแต่ SXG ล่าสุด ก็ไม่จำเป็นต้องดาวน์โหลดไฟล์ SXG ทั้งไฟล์ในทางเทคนิค ดังนั้นการอัปเดตข้อมูลส่วนหัวของลายเซ็นเพียงอย่างเดียวจึงช่วยลดการจราจรของข้อมูลในเครือข่ายได้ แต่ยังไม่มีการนำรายละเอียดมาใช้

เริ่ม nginx และคุณพร้อมที่จะให้บริการ SXG แล้ว

sudo systemctl start nginx.service
curl -H"Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
cat index.html.sxg
sxg1-b3...https://website.test/...(omit)

ตัวเลือกที่ 2: กำหนดค่าโมดูล nginx ที่สร้างขึ้นจากต้นทาง

ทำตามวิธีการเหล่านี้หากคุณใช้ขั้นตอนที่ 3 ตัวเลือกที่ 2 ก่อนหน้านี้

กำหนดค่าระบบ nginx ที่ติดตั้งใน /opt/nginx ให้มีลักษณะคล้ายกับตัวอย่างต่อไปนี้

load_module "/opt/nginx/modules/ngx_http_sxg_filter_module.so";

events {
    worker_connections 768;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    add_header X-Content-Type-Options nosniff;

    server {
        listen 443 ssl;
        ssl_certificate     /path/to/ssl/fullchain.pem;
        ssl_certificate_key /path/to/ssl/privkey.pem;
        server_name  example.com;

        sxg on;
        sxg_certificate     /path/to/sxg/mySxg.pem;
        sxg_certificate_key /path/to/sxg/mySxg.key;
        sxg_cert_url        https://website.test/certs/cert.cbor;
        sxg_validity_url    https://website.test/validity/resource.msg;
        sxg_cert_path       /certs/cert.cbor;

        root /opt/nginx/html;
    }
}

จากนั้นเริ่ม nginx ตอนนี้คุณซื้อ SXG ได้แล้ว

cd /opt/nginx/sbin
sudo ./nginx
curl -H "Accept: application/signed-exchange;v=b3" https://website.test/ > index.html.sxg
less index.html.sxg
sxg1-b3...https://website.test/...(omit)

ขั้นตอนที่ 5: ให้บริการแบ็กเอนด์แอปพลิเคชันของคุณ

ในตัวอย่างข้างต้น nginx จะแสดงไฟล์แบบคงที่ในไดเรกทอรีราก แต่คุณสามารถใช้คำสั่งอัปสตรีมสำหรับแอปพลิเคชันเพื่อสร้าง SXG สำหรับแบ็กเอนด์เว็บแอปพลิเคชันที่กำหนดเอง (เช่น Ruby on Rails, Django หรือ Express) ตราบใดที่ nginx ทำงานเป็นเซิร์ฟเวอร์ HTTP(S) ด้านหน้า

upstream app {
    server 127.0.0.1:8080;
}

server {
    location / {
        proxy_pass http://app;
    }
}

ขั้นตอนที่ 6: ทดสอบ

ใช้เครื่องมือ dump-signedExchange เพื่อทดสอบว่า SXG ที่กำลังแสดงผลนั้นถูกต้อง ไม่มีการรายงานข้อผิดพลาด และตรวจสอบว่าส่วนหัวและเนื้อหาเป็นไปตามที่คาดไว้

go get -u github.com/WICG/webpackage/go/signedexchange/cmd/dump-signedexchange
export PATH=$PATH:~/go/bin
dump-signedexchange -verify -uri https://website.test/ | less

ส่งความคิดเห็น

วิศวกร Chromium ที่ดูแล SXG ต้องการรับฟังความคิดเห็นของคุณที่ webpackage-dev@chromium.org นอกจากนี้ยังเข้าร่วมการพูดคุยเรื่องข้อกำหนดหรือรายงานข้อบกพร่องไปยังทีมได้ด้วย ความคิดเห็นของคุณจะช่วยในกระบวนการกำหนดมาตรฐานได้เป็นอย่างมาก และช่วยแก้ปัญหาการใช้งานด้วย ขอขอบคุณ