Cette procédure permet d’installer une version récente de “Nginx” en intégrant une version également récente d’OpenSSL (compilée en statique) sur une vieille distribution Debian ou Ubuntu (plus maintenue / obsolète).
Il s’agit d’une rustine qui permet de contourner les failles des implémentation obsolètes d’OpenSSL:
- améliorer la sécurité SSL/TLS lorsque la mise à jour d’Apache ou de libSSL est difficile voire impossible,
- remplacer un vieux serveur Apache 2 / OpenSSL (pas de mise à jour possible) par un frontal Nginx configuré en reverse-proxy.
La mise en oeuvre nécéssite quelque modifications de configuration:
- désactiver l’écoute sur https/433 du serveur Apache,
- changer le port d’écoute http/80 Apache (par exemple http/8080),
- configurer Nginx en reverse-proxy / mandataire SSL
- écoute sur http/80 => “redirect temporary” vers https/443
- écoute sur https/443 => reverse-proxy vers http/8080 assuré par le serveur Apache.
Cette procédure ne casse pas les paquets et les librairies installés sur la machine (libSSL est compilée en statique avec Nginx).
Cette procédure a été écrite pour Debian Lenny (5.0).
⇒ Procédure sur le Wiki