本文會介紹一些 Nginx 與 Libressl 一起使用實踐經驗。
本文所用軟件的版本

•     nginx 1.6.0

•     libressl 2.0.0

安裝

直接從源碼編譯LibreSSL，構建過程的輸出非常簡潔，源碼還附帶測試用例及提供并行構建支持（見附錄）。

1. # 用于構建及安裝 libressl 的選項  
2.    
3. $ ./configure --prefix=/usr LDFLAGS=-lrt && make check && sudo make install 

新安裝的 LibreSSL 可替代openssl以相同的方式運行，但要注意：正如 sabotage-linux 的 spencerjohn 和 Gentoo 的 Hanno Böck 所說的那樣，用libressl完全替代操作系統中的openssl會很麻煩。[3,4]

LibreSSL 會報告其版本為 LibreSSL 2.0， openssl命令的使用方法與openssl一樣：
 

確認了 libressl 能夠使用后，我便動手讓 nginx 來使用 libressl 。盡管在仍然使用 openssl 0.9.x 的舊系統中，通常我都會靜態構建 nginx+openssl 以使最新和最好的 tls 版本可用。第一次嘗試，只使用 ./configure --with-openssl=/path/to/libressl 就大錯特錯了，因為 nginx 已經完全與 openssl 的構建過程融合了：

•     可使用名為./config的腳本來替代./configure(容易解決)

•     openssl 會收集在 .openssl/lib 下的 objects(.obj) 文件和其他文件來鏈接進二進制文件和庫文件，而 libressl 將這些文件分開存放在 crypto/.libs 和 ssl/.libs。

嘗試通過手工建立目錄層次（.openssl/lib）及根據 libressl 成功構建后出現的錯誤提示（見下面的錯誤信息）來復制文件以解決這些問題；在編譯 libressl 時，我看到一個類似可以通過使用 LDFLAGS=-lrt 選項來解決問題的錯誤提示，但在嘗試編譯nginx并鏈接到已靜態編譯過的libressl庫時仍然無法修復這個問題（但我依然繼續）：
 

下一個嘗試是在安裝了 libressl 的前提下通過鏈接到 libressl 的動態庫來構建 nginx，最終成功了（完整的nginx ./configure 選項參數見附錄）。 運行 nginx-libressl -t 測試成功，并將 /usr/bin/nginx 替換成新的二進制可執行文件和運行 /etc/init.d/nginx restart，更新后的 nginx + libressl 上線了。任何配置文件和 nginx 的 ssl 配置都不需要修改，非常好！

測試

感興趣并想測試的朋友可以訪問： www.mare-system.de，網站從2014-07-12開始運行在 libressl 上。如你發現任何不兼容的問題，請通過 [email protected] 給我留言。

在各種 Linux 和 Android 的瀏覽器上測試都沒有發現問題；甚至在一臺已被遺忘的裝有2007年10月發布并已過時的附帶 OpenSSL 0.9.8g 19 的 debian 5 上使用像 w3m 這樣的控制臺瀏覽器上瀏覽也沒有問題。

在 ssllabs.com 上測試的得分為 A+，成績與之前的配置一樣；在使用了 libressl 后，唯一給出的提示是加密算法 ChaCha20-Poly1305 還處于實驗階段。

做了一個小小的性能測試，結果顯示沒有什么大問題；LibreSSL 與平均水平相比慢了 4%。原因可能是 openssl 是靜態鏈接到 nginx 的，而 libressl 則是動態鏈接到 nginx 的，所以會產生更多的資源開銷。

純數字的測試結果：

性能測試方式的一些說明可能在附錄中找到。
結論

此法可行。

雖然不建議在這個階段使用 LibreSSL 來代替 OpenSSL，但我只想測試其可行性。結果證明這是可行的。 從我的測試來看，沒有任何功能上或性能的問題，而且只要你找到方法，構建 nginx + libressl 就容易了。依我所見，長期使用 LibreSSL 的好處是：

•     干凈的代碼

•     更少的漏洞

•     更多人參與

在我撰寫本文的時候，我收到新的 LibreSSL 版本發布的消息，新版本解決了一些新的問題。所以，再回頭使用 OpenSSL 就顯得有點不理智了:

做得好，LibreSSL 團隊，再次感謝