Prise en charge de QUIC+HTTP/3 pour OpenSSL avec NGINX
Les développeurs souhaitent généralement créer des applications et des infrastructures à l'aide de bibliothèques publiées, officielles et prises en charge. Même avec HTTP/3, il existe un fort besoin d’une bibliothèque pratique qui prend en charge QUIC et n’augmente pas les coûts de maintenance ou la complexité opérationnelle de l’infrastructure de production.
Pour de nombreux utilisateurs de QUIC+HTTP/3 , cette bibliothèque cryptographique par défaut est OpenSSL . Installé par défaut sur la plupart des systèmes d'exploitation basés sur Linux, OpenSSL est la bibliothèque TLS (Transport Layer Security) numéro un et est utilisée par la majorité des applications réseau.
Le problème : Incompatibilité entre OpenSSL et QUIC+HTTP/3
Même avec une utilisation aussi large, OpenSSL ne fournit pas l'API TLS requise pour la prise en charge de QUIC. Au lieu de cela, le comité de gestion d'OpenSSL a décidé de mettre en œuvre lui-même une pile QUIC complète. Cette initiative représente un effort considérable prévu pour OpenSSL v3.4 mais, selon la feuille de route d'OpenSSL , cela n'arrivera probablement pas avant la fin de 2024. De plus, le produit minimum viable initial de l'implémentation d'OpenSSL ne contiendra pas l'implémentation de l'API QUIC, il n'y a donc pas de chemin clair pour que les utilisateurs obtiennent la prise en charge HTTP/3 avec OpenSSL.
Options de prise en charge de QUIC TLS
Dans cette situation, les utilisateurs à la recherche d'un support QUIC TLS pour leurs besoins HTTP/3 ont deux options :
- Implémentation OpenSSL QUIC – Comme mentionné ci-dessus, OpenSSL travaille actuellement à l’implémentation d’une pile QUIC complète par lui-même. Ce développement encapsulera toutes les fonctionnalités QUIC dans l'implémentation, ce qui permettra aux utilisateurs HTTP/3 d'utiliser beaucoup plus facilement l'API OpenSSL TLS sans se soucier des fonctionnalités spécifiques à QUIC.
- Bibliothèques prenant en charge l'API BoringSSL QUIC – Diverses bibliothèques SSL telles que BoringSSL , quicTLS et LibreSSL (qui ont toutes commencé comme des forks d'OpenSSL) fournissent désormais la fonctionnalité QUIC TLS en implémentant l'API BoringSSL QUIC. Cependant, ces bibliothèques ne sont pas aussi largement adoptées qu'OpenSSL. Cette option nécessite également de créer la bibliothèque SSL à partir de la source et de l'installer sur chaque serveur nécessitant la prise en charge de QUIC+HTTP/3, ce qui peut ne pas être une option envisageable pour tout le monde. Cela dit, c'est actuellement la seule option pour les utilisateurs souhaitant utiliser HTTP/3 car l'implémentation OpenSSL QUIC TLS n'est pas encore prête.
Une nouvelle solution : La couche de compatibilité OpenSSL
Chez NGINX, nous nous sommes sentis inspirés par ces défis et avons créé la couche de compatibilité OpenSSL pour simplifier les déploiements QUIC+HTTP/3 qui utilisent OpenSSL et aider à éviter les complexités associées à la maintenance d'une bibliothèque SSL distincte dans les environnements de production.
Disponible avec la ligne principale NGINX Open Source depuis la version 1.25.0 et NGINX Plus R30 , la couche de compatibilité OpenSSL permet à NGINX d'exécuter QUIC+HTTP/3 sur OpenSSL sans avoir besoin de le corriger ou de le reconstruire. Cela supprime la dépendance à la compilation et au déploiement de bibliothèques TLS tierces pour obtenir la prise en charge QUIC. Étant donné que les utilisateurs n’ont pas besoin d’utiliser des bibliothèques tierces, cela réduit également la dépendance aux calendriers et aux feuilles de route de ces bibliothèques, ce qui en fait une solution relativement plus facile à déployer en production.
Comment fonctionne la couche de compatibilité OpenSSL
La couche de compatibilité OpenSSL implémente ces étapes :
- Convertit une poignée de main QUIC en une poignée de main TLS 1.3 prise en charge par OpenSSL.
- Transmet les messages de négociation TLS entrants et sortants d'OpenSSL.
- Obtient les clés de chiffrement pour les niveaux de chiffrement de négociation et d'application à partir d'OpenSSL.
- Transmet les paramètres de transport QUIC dans et hors d'OpenSSL.
Compte tenu du niveau d’adoption d’OpenSSL aujourd’hui et connaissant son statut avec le support officiel de QUIC+HTTP/3, nous pensons qu’une option simple et évolutive pour activer QUIC est un pas dans la bonne direction. Cela favorisera également l’adoption de HTTP/3 et permettra d’obtenir des retours précieux. Plus important encore, nous sommes convaincus que la couche de compatibilité OpenSSL nous aidera à fournir une solution plus robuste et évolutive à nos utilisateurs d’entreprise et à l’ensemble de la communauté NGINX.
Note : Bien que nous veillons à ce que les utilisateurs de NGINX disposent d'une option simple et évolutive avec la disponibilité de la couche de compatibilité OpenSSL, les utilisateurs ont toujours la possibilité d'utiliser des bibliothèques tierces comme BoringSSL, quicTLS ou LibreSSL avec NGINX. Pour décider quelle est la voie qui vous convient le mieux, réfléchissez à l'approche qui répond le mieux à vos besoins et à votre degré de confort avec la compilation et la gestion des bibliothèques en tant que dépendances.
Remarque sur 0-RTT
0-RTT est une fonctionnalité de QUIC qui permet à un client d'envoyer des données d'application avant la fin de la négociation TLS. La fonctionnalité 0-RTT est rendue possible en réutilisant les paramètres négociés d'une connexion précédente. Cela est activé lorsque le client mémorise les paramètres critiques et fournit au serveur un ticket de session TLS qui permet au serveur de récupérer les mêmes informations.
Bien que cette fonctionnalité soit un élément important de QUIC, elle n'est pas encore prise en charge dans la couche de compatibilité OpenSSL. Si vous avez des cas d'utilisation spécifiques qui nécessitent 0-RTT, nous vous invitons à nous faire part de vos commentaires pour éclairer notre feuille de route.
En savoir plus sur NGINX avec QUIC+HTTP/3 et OpenSSL
Vous pouvez commencer à utiliser la couche de compatibilité OpenSSL de NGINX dès aujourd'hui avec NGINX Open Source ou en démarrant un essai gratuit de 30 jours de NGINX Plus . Nous espérons que vous le trouverez utile et serons ravis de recevoir vos commentaires.
Plus d'informations sur NGINX avec QUIC+HTTP/3 et OpenSSL sont disponibles dans les ressources ci-dessous.
- Introduction à la mise en réseau et au chiffrement QUIC dans NGINX
- Des packages binaires sont désormais disponibles pour l'implémentation Preview NGINX QUIC+HTTP/3
- Notre feuille de route pour la prise en charge de QUIC et HTTP/3 dans NGINX
- Soutenir l'Open Source pour un monde plus sûr : F5 NGINX annonce le parrainage de Let’s Encrypt et OpenSSL
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."